Vulnerabilidad Apache Fusion Middleware y Application Server
Oracle corrige al fin, la grave vulnerabilidad de Apache en “Fusion Middleware y Application Server”.
A finales de agosto de este año, se descubría una grave vulnerabilidad de denegación de servicio en el servidor httpd de Apache y se presentaron de inmediato por parte de las empresas que hacen uso de esta tecnología los reportes de ataques. Oracle lo ha tomado en cuenta tras más de 20 días de espera y finalmente ha publicado un parche crítico para actualizar las ediciones de “Oracle Fusion Middleware y Application Server”.
Esta es la quinta vez desde 2005 que se publica un parche fuera de los periodos oficiales de actualización de Oracle (cada tres meses). La gravedad de la misma lo explica todo.
La plataforma Oracle Fusion Middleware y su componente Oracle Applicaction Server ofrecen un conjunto de aplicaciones y soluciones de desarrollo, implementación y gestión integrado para empresas basados en la arquitectura SOA.
Recordamos que la vulnerabilidad CVE-2011-3192, se caracterizaba por una denegación de servicio a través del envío de peticiones Range especialmente manipuladas que originan un consumo excesivo de memoria en el módulo ‘mod_deflate’.
Las versiones afectadas son las siguientes:
* Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0
* Oracle Application Server 10g Release 3, versiones 10.1.3.5.0 (solamente si Oracle HTTP Server 10g basada en Apache 2.0 ha sido instalado desde el CD Application Server Companion).
* Oracle Application Server 10g Release 2, versión 10.1.2.3.0 (solamente si Oracle HTTP Server 10g basada en Apache 2.0 ha sido instalado desde el CD Application Server Companion).
Desde Oracle se recomienda encarecidamente la urgente actualización de los sistemas.
Oracle Security Alert for CVE-2011-3192
Espero que esta información haya sido de utilidad.
Saludos
Victor Miranda
Victor Miranda
Professional Ethical Hacker, Pentester & Forensics Investigator MPCS, CEH v8, CSSP, CICP-CICAP HTCIA Member & ISECOM Member Twitter: @victormirandamx