Boletines de Vulnerabilidades |
Actualización de seguridad para Oracle |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de privilegios |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado |
Oracle Database Server 10.2.0.3 Oracle Database Server 10.2.0.4 Oracle Database Server 10.2.0.5 Oracle Database Server 11.1.0.7 Oracle Database Server 11.2.0.2 Oracle Database Server 11.2.0.3 |
Descripción |
|
Se ha descubierto una vulnerabilidad de obtención de privilegios en Oracle Database Server. La vulnerabilidad reside en el INDEXTYPE CTXSYS.CONTEXT. Un atacante remoto autenticado podría obtener privilegios de "SYS" sobre el sistema, impactando en la confidencialidad, integridad y disponibilidad, todo esto mediante la explotación con éxito de la vulnerabilidad. |
|
Solución |
|
Oracle recomienda aplicar los parches tan pronto como sea posible para el componente Servidor de Base de Datos Oracle, que se puede encontrar en http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1480492.1 http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1482694.1 Las versiones de Oracle Database 11.2.0.2 y 11.2.0.3 no requieren parche si se ha aplicado la actualización crítica de Julio de 2012. |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CVE-2012-3132 |
BID | |
Recursos adicionales |
|
Oracle Security Alert for CVE-2012-3132 http://www.oracle.com/technetwork/topics/security/alert-cve-2012-3132-1721017.html Application Security, Inc. CTXSYS.CONTEXT Privilege Escalation http://info.appsecinc.com/rs/appsecinc/images/SA-CTXSYS.CONTEXT-7.12.pdf |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2012-08-14 |