Oracle libera primer patch del 2005 y una herramienta para evaluar amenazas

19 Ene 2005 en Software

Oracle lanza el primer patch en lo que va de este nuevo año y lo acompaña de una herramienta para el diagnóstico de amenazas a la que ha bautizado como Risk Matrix.
Esta actualización es la primera que se produce desde el momento en que Oracle pasó a un esquema de emisión de patches trimestral. Además de esta actualización, Oracle comunicó que notificará de inmediato a sus clientes mediante una Alerta de Seguridad separada si alguna de las amenazas no cubiertas con el patch resulta ser los suficientemente importante.
Este primer patch es un update acumulativo que incluye a los arreglos de Oracle Security Alert Nro. 68, emitida el mes pasado. Además, contiene arreglos que no son de seguridad en sí mismos, pero se relacionan con otros que sí lo son (debido a interdependencias).
A diferencia de otras advertencias de seguridad, Oracle embebió links a MetaLink en un documento PDF disponible en www.oracle.com/technology/deploy/security/alerts.htm.
El software Risk Matrix, por su parte, servirá para que los clientes midan el grado de severidad de las vulnerabilidades que se presenten en el anuncio trimestral de seguridad. En la grilla se incluye el acceso requerido para la explotación de la vulnerabilidad y los requerimientos que el atacante debe cumplir para tener éxito.
“Si el ataque a la red es posible, listaremos el protocolo necesario para ese ataque,” se afirma en la documentación emitida por Oracle.
Cada categoría indica qué tan fácilmente puede una vulnerabilidad ser explotada y cuál es el potencial daño que causaría un ataque exitoso. En la matriz, las vulnerabilidades más serias tienen un impacto más amplio. La matriz también cubre el rango de  versiones impactadas por cualquier vulnerabilidad, desde el primero al último de los patches emitidos para cada versión soportada que siga estando afectada por una determinada vulnerabilidad.
Si un cliente utiliza, por ejemplo Oracle DB 10g Release 1, versión 10.1.0.2 y quiere determinar si lo afecta la vulnerabilidad DB06, verá Oracle DB Server Risk Matrix, donde la fila DB06 muestra 10g en la columna del primer release afectado y 10.1.0.3.1 (10g) en la columna del último patch afectado. Esto dice que todas las versiones de 10g hasta e incluyendo a 10.1.0.3.1, están afectadas por la vulnerabilidad.