Los administradores de Oracle tienen trabajo pendiente.
Oracle ha facilitado su ensalada de parches para abril de 2007, y como es normal en un ciclo tan prolongado, y teniendo como protagonistas a tantos productos, el cariz de este grupo de actualizaciones se puede definir como altamente crítico. Este conjunto de actualizaciones responde a la política de emisión de actualizaciones programada por el fabricante, que trimestralmente ofrece sus parches a clientes y usuarios.
El pack de actualizaciones afecta de un modo u otro a los productos Oracle Database 10g Release 2, versiones 10.2.0.2, 10.2.0.3, Oracle Database 10g Release 1, versiones 10.1.0.4, 10.1.0.5, Oracle9i Database Release 2, versiones 9.2.0.7, 9.2.0.8, Oracle Secure Enterprise Search 10g Release 1, version 10.1.6, Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.0.0, 10.1.3.1.0, 10.1.3.2.0, Oracle Application Server 10g Release 2 (10.1.2), versiones 10.1.2.0.1 – 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0, Oracle Application Server 10g (9.0.4), version 9.0.4.3, Oracle10g Collaboration Suite Release 1, version 10.1.2, Oracle E-Business Suite Release 11i, versiones 11.5.7 – 11.5.10 CU2, Oracle E-Business Suite Release 12, version 12.0.0, Oracle Enterprise Manager 9i Release 2, versiones 9.2.0.7, 9.2.0.8, Oracle Enterprise Manager 9i, version 9.0.1.5, Oracle PeopleSoft Enterprise PeopleTools versiones 8.22, 8.47, 8.48, Oracle PeopleSoft Enterprise Human Capital Management version 8.9, JD Edwards EnterpriseOne Tools version 8.96 y JD Edwards OneWorld Tools SP23.
En total, 36 actualizaciones de bastante importancia. Los fallos tienen diversa índole, y consecuencias desagradables como el salto de restricciones de seguridad, el Cross Site Scripting, la manipulación de datos, la denegación de servicio y el acceso a los sistemas de forma remota, son posibles en aquellos sistemas pendientes de actualizar.
Como siempre, ojo con las matrices de riesgo. Parchear productos Oracle es tremendamente complejo, ya que suelen tener relación directa con frontales de oficina y con backoffices corporativos de relevancia. Si a ésto añadimos que los productos Oracle suelen estar agrupados, y que estos se pueden distribuír geográficamente en la totalidad de husos horarios, la tarea de actualización se torna especialmente peligrosa, y requiere atención experta, en prevención de efectos indeseables en la continuidad del negocio.
Los que tengan sistemas no expuestos y que no vayan a rajatabla con el ciclo de actualizaciones se lo pueden tomar con más calma, incorporando en subidas a producción aquellos cambios que se consideren más relevantes e inmediatos. Ante la duda, siempre aconsejable el servicio del fabricante o del algún partner especializado.
Más información en el boletín del fabricante y en Secunia. También interesantes estos enlaces de Red Database Security, una consultora especializada en seguridad Oracle (hallo, Alexander), además de auditoría y formación al hilo de estos productos:
http://www.red-database-security.com/advisory/oracle_discoverer_servlet.html
http://www.red-database-security.com/advisory/oracle_css_ses.html
http://www.red-database-security.com/oracle_sql_injection_dbms_aqadm_sys.html
http://www.red-database-security.com/oracle_injection_dbms_upgrade_internal.html
También de Red Database Security este curioso y útil verificador de fortaleza de contraseñas Oracle. Funciona en Windows y en Linux.
Un saludo :)
Estimados amigos: Estoy tratando de instalar ArcSDE 9.2 for Oracle R2 10.2.0.2, pero la versión que tengo de Oracle Database es 10.2.0.1 for Windows XP/2000/2003, pero necesito que me ayuden a conseguir la versión de Oracle R2 10.2.0.2 para Windows XP. Desde ya muchas gracias por su apoyo.
Saludos!
Juan Carlos
Juan Carlos,
a) Emplea versiones Oracle Express, son gratuítas: http://www.oracle.com/technology/xe/index.html
b) Compra la licencia si no quieres emplear versiones gratuítas: http://www.oracle.com/products/buy/index.html