Oracle inicia el 2009 con 41 patches para la seguridad de sus productos

14 Ene 2009 en Seguridad

De los 41 patches que Oracle acaba de liberar en su CPU (Critical Patch Update), 20 son para productos de bases de datos. Esos arreglos se distribuyen en tres sub-líneas de productos. La base de datos Oracle recibe diez correcciones a vulnerabilidades, aunque ninguna de ellas es explotable remotamente sin autenticación. Luego tenemos a Secure Backup que recibe patches para 9 fallas, mientras que Oracle TimesTen Data Server recibe sólo uno. Las brechas de estos dos últimos productos son explotables remotamente sin autenticación.
Según su propio indicador CVSS (Common Vulnerability Scoring System), cinco de las vulnerabilidades califican con 10, el puntaje más alto en cuanto a gravedad del problema. Cuatro de los calificados con 10 en el CVSS aparecieron en Secure Backup y uno en BEA WebLogic Server Plugins para servidores web Apache, Sun y IIS.
Veamos las otras 21 correciones. Oracle Application Server recibe cuatro, de las cuales dos son explotables remotamente sin autenticación. Oracle Collaboration Suite recibe una corrección, mientras que hay otras cuatro para Oracle Appications Suite. Las suites de J.D. Edwards y PeopleSoft, tienen seis  patches y Oracle Enterprise Manager uno.
Finalmente, tenemos otras cinco correcciones de fallas de seguridad para productos BEA de Oracle, todas explotables en forma remota sin autenticación.
Desde que Oracle adquirió a BEA y comenzó a prestar atención a su seguridad, aparecieron algunas fallas. Eric Maurice, quien dirige la seguridad en la unidad de tecnología global de Oracle, dijo que un grupo Oracle White Hat de hackers éticos examina el producto de BEA en forma continua. Maurice afirma que los productos más maduros de Oracle tienen pocas vulnerabilidades.
El CTO de la firma de seguridad de bases de datos Imperva, Amichai Shulman, coincide con Maurice en cuanto a que se está haciendo un mejor trabajo, pero cree que “Oracle debe mejorar sus procesos de apoyo a los clientes para manejar esas vulnerabilidades. Estas y anteriores actualizaciones de seguridad no dan los detalles sobre las vulnerabilidades críticas para las que los clientes tienen que evaluar el riesgo en sus entornos o aplicar maniobras preventivas.”
Shulman comenta que los proveedores de soluciones de seguridad carecen de información para responder oportunamente con ajustes que ayuden a sus clientes a permanecer protegidos hasta el momento en que llega el patch de parte de Oracle.
El próximo lote CPU de Oracle llegaría el 14 de abril, siguiendo con su ritmo de liberación trimestral.