Oracle atiende 51 vulnerabilidades en su primer Critical Patch Update del 2007

18 Ene 2007 en Seguridad

Si bien parece una cantidad elevada, es menor que la registrada en los anteriores lotes de patches. Posiblemente se deba en parte a los nuevos métodos de reporte utilizados por Oracle.
Las 51 vulnerabilidades conciernen a los productos Oracle Database Server, Oracle Applications Server, Oracle Collaboration Suite, Oracle E-Business Suite, Oracle Enterprise Manager y a Oracle PeopleSoft Enterprise Applications.
El anterior update fue en octubre del año pasado y atendía a 101 nuevas brechas de seguridad detectadas. En ese momento, se inició una nueva modalidad, más transparente, para informar acerca de los updates. En los nuevos reportes se identifica cuáles vulnerabilidades son explotables remotamente. Oracle utiliza ahora en sus reportes de Critical Patch Updates (CPU) tablas de puntaje o scores Common Vulnerability Scoring System (CVSS).
Eric Maurice, gerente de seguridad en la unidad de tecnología de Oracle, señaló en el blog de seguridad de su empresa que “el uso de CVSS ha conseguido mucho apoyo por parte de los clientes y un genuino interés de parte de la industria en general.”
Los scores CVSS de este último lote registran 51 vulnerabilidades, de las cuales siete tiene un score “Base Metric” CVSS de cero. “Eso es porque la vulnerabilidad presenta un problema no explotable en un entorno de base de datos configurado por defecto (tal como sale de la caja provista por Oracle,” explica Maurice. “El código que ejecuta programas afectados como usuario privilegiado, tal como desarrollos propios de los clientes que pasan input desde una fuente no confiable, puede ser explotable. En particular, puede permitir que cierto código malicioso sea ejecutado con privilegios administrativos.”
En el update de enero se atiende también a algunas fallas serias. 26 patches son para aplicaciones de bases de datos Oracle y diez de ellas podrían ser potencialmente explotables sin siquiera el nombre de usuario o password. Application Server de Oracle amerita la atención de ocho vulnerabilidades críticas que pueden también ser explotadas remotamente sin nombres de usuario o password.
La firma Guardium, especialista en seguridad de bases de datos y compliance, evaluó la situación de Oracle de forma positiva. “El último CPU de Oracle muestra significativas mejoras respecto a los anteriores,” expresó el CTO de Guardium.
También existen algunos problemas en el núcleo de los sistemas de bases de datos relacionales de Oracle. Guardium los encuentra menos críticos y sólo algunos pueden ser explotados remotamente sin autenticación a la base de datos. “Esta mejora responde al foco que Oracle ha puesto en seguridad y no hay que olvidar que esta compañía aspira a convertirse en sólido jugador en el terreno de la seguridad empresarial,” concluye el comentario del CTO de Guardium.