Oracle libera lote de patches para corregir 45 brechas de seguridad en sus productos

19 Jul 2007 en Seguridad

Se trata del tercer lote de patches de importancia crítica para la seguridad de varios productos Oracle. Las correcciones son para las líneas de productos Database Application Server, Collaboration Suite, E-Business Suite, J.D. Edwards y PeopleSoft.
De esos 45 patches, 17 son para los productos de bases de datos y corrigen posibles explotaciones, dos de ellas en forma remota y sin autenticación del usuario.
Oracle E-Business Suite le sigue con 14 patches, seis de ellos explotables en forma remota. Collaboration Suite recibe cinco arreglos, cuatro de ellos también para brechas explotables en forma remota. Oracle Application Server ameritó cuatro patches, tres de ellos para evitar explotaciones remotas sin autenticación de usuario. Application Express tuvo sólo un patch.
Por su parte, Oracle PeopleSoft Enterprise y JD Edwards EnterpriseOne requirieron siete arreglos, aunque sólo uno de ellos bloquea una falla explotable en forma remota sin autorización.
Oracle sigue mejorando el grado de detalle que ofrece sobre estas notificaciones. En este CPU (Critical Patch Update) se adopta un formato ampliado para las plataformas Oracle Database Server for Unix and Linux versión 10.2.0.3 en adelante. Esta modalidad, denominada “napply CPU” muestra los arreglos de seguridad agrupados en una especie de moléculas. Cada una de esas moléculas no entra en conflicto con el resto, algo que ocurría cuando los arreglos afectaban simultáneamente a un mismo archivo o grupo de archivos. Ahora no existen conflictos al combinar la instalación de diferentes patches.
En este lote de arreglos o CPU, Oracle no incluye aquellos para sus líneas Linux. Monica Kumar, directora de productos open source en Oracle, explicó que el CPU trimestral de Oracle y las actividades de soporte a Linux corren por separado. La razón principal es que los patches para Linux deben ir siendo liberados sobre la marcha. Según Kumar, Oracle ha liberado 17 patches para la seguridad de Linux en los últimos seis meses.