Oracle corrige más de 100 brechas en su último y más detallado Critical Patch Update

23 Oct 2006 en Seguridad

En respuesta a quienes se quejaban de la poca información que Oracle brindaba en sus reportes sobre vulnerabilidades a la seguridad, este CPU (Critical Patch Upadte) es rico en información sobre las más de cien brechas que se corrigen.
El anterior update, realizado en julio, incluyó el tratamiento de 65 bugs, el de abril 36 y el de enero de este año corrigió 82 brechas.
De las 101 correcciones del update de octubre liberado la semana pasada, 56 corresponden a fallas que podrían permitir explotaciones remotas sin siquiera un nombre de usuario o password. En sus CPUs anteriores, Oracle nunca develó cuántas de las brechas eran explotables en forma remota.
“Si bien las matrices de riesgo en los CPUs permitían determinar si una vulnerabilidad era explotable en forma remota sin requerir autenticación en el sistema atacado, Oracle ahora identificará específicamente a este tipo de vulnerabilidad,” dice en un blog de seguridad Eric Maurice, gerente de seguridad de Global Technology Business Unite de Oracle. “Esta ampliación de la documentación facilita la identificación de las vulnerabilidades más críticas atendidas en un CPU.”
De las correcciones, 63 corresponden a productos de bases de datos de Oracle; 14 a Application Server; 13 a E-Business Suite; 8 a Oracle PeopleSoft Enterprise PeopleTools y Enterprise Portal Solutions; mientras que J.D. Edwards EnterpriseOne, tiene una sola corrección.
Respecto a los anteriores CPUs, éste también ofrece mayor detalles al incluir al score de Common Vulnerability Scoring (CVSS). Utilizando CVSS, Oracle computará un grupo de métricas básicas (Base Matric Group) para que los usuarios puedan estimar el grado de riesgo en cada uno de sus entornos en particular respecto a una vulnerabilidad específica.
Ron Ben-Natan, CTO de la firma de seguridad de bases de datos Guardium, valoró los cambios realizados por Oracle en su CPU. “Los usuarios quieren cuantificación y les interesa conocer números,” opinó el especialista al referirse a la inclusión de CVSS.
“A los administradores les tomará cierto tiempo adquirir un sentido intuitivo del mínimo rating de criticidad CVSS que requiere una acción inmediata,” nos dice Ben-Natan. “La matriz de riesgo debería ser revisada aun para aquellas vulnerabilidades que parecen tener una calificación más baja ya que pueden ser relevantes en un entorno en particular,” concluye.