Oracle ha lanzado un nuevo lote trimestral de actualizaciones de seguridad en más de 80 productos de su cartera de software, esto debido al descubrimiento de 276 vulnerabilidades.
Esta es la más grande actualización Crítica (CPU) hasta la fecha hecha por la empresa Oracle. El número promedio de defectos fijos por cada actualización de Oracle el año pasado fue de 161, de acuerdo con el proveedor de seguridad Qualys. Por otra parte, fuera de las 276 fallas de seguridad fijas en esta actualización, 159 pueden ser explotadas remotamente sin autenticación.
La lista de prioridades la encabezan los parches de Java, que se ocupan de 13 nuevas vulnerabilidades. Eso es porque Java se utiliza en una gran cantidad de aplicaciones y se instala en un gran número de sistemas.
“Los clientes realmente necesitan aplicar estos parches de Java en sus CPU tan pronto como les sea posible”, dijo a través de un correo electrónic, John Matthew Holt, director de tecnología de la firma de seguridad Waratek. Entre los parches que requieren atención urgente son los de la máquina virtual Java HotSpot para ordenadores y servidores, cuyo conteo CVSS fue excesivamente alto.
La base de datos del servidor de Oracle recibió parches en nueve vulnerabilidades, una de ellas considerada crítica, con una puntuación de nueve de cada 10 en el CVSS. Mientras tanto, la base de datos de Oracle MySQL recibido advertencias o parches por 22 nuevos problemas de seguridad, cuatro de ellos con una calificación alta severidad.
Mientras que las bases de datos no suelen estar expuestos a Internet, a menudo contienen datos más importantes de una empresa, por lo que estas correcciones deben ser tomadas en cuenta de inmediato.
De acuerdo con Qualys , las empresas también deben dirigir su atención a los activos que pueden ser atacados directamente desde Internet. Estos incluyen los servidores web y de aplicaciones como Oracle HTTP Server, WebLogic Server y servidor GlassFish, que son parte de la suite Fusion Middleware de Oracle.
Fusión productos y componentes de middleware mostraron treinta y cinco defectos, cinco de ellos considerados críticos, con una puntuación CVSS de 9,8. El Oracle Systems Sun Products Suite también recibió un gran número de parches: 34. Esto incluye correcciones para el sistema operativo Solaris y los switches para redes que pueden ser objetivo de los atacantes de forma remota.
La empresa también deben observar y aplicar correcciones para productos específicos de la industria, tales como Oracle Supply Chain, Oracle Communications, Oracle Plataforma para los bancos y entidades financieras, Oracle Financial Services Aplicaciones, Ciencias de la Salud, Aplicaciones de Oracle Insurance, Oracle Utilities aplicaciones y los productos de Oracle para el sector minorista.
Se identificaron también problemas y parches en los componentes de aplicaciones como bus de integración, Broker Order, Backbone Servicio, y la gestión de inventario.
Los componentes “juegan un papel vital en la infraestructura al por lo menos proporcionar la integración entre otros componentes de Oracle al por menor y al resto de la infraestructura de la empresa, incluyendo otras aplicaciones de misión crítica”, según expresaron los analistas de la firma de seguridad ERPS.
“Los ataques a estas aplicaciones pueden interrumpir los procesos de negocios (por ejemplo, el pago o la cadena de suministro) en una empresa de venta al por menor. Además, un hacker puede controlar la transferencia de todos los datos entre los componentes y, por lo tanto, cometer fraude cambiando algunos datos durante la transferencia. ”
Oracle recomienda a los usuarios instalar los parches sin demora, advirtiendo que los atacantes constantemente tratan de explotar los defectos para los que la compañía ya ha lanzado correcciones. A veces, los atacantes tienen éxito porque los clientes no se aplicaban los parches existentes, según la compañía.