Oracle libera su lote trimestral de patches y anuncia cambios operativos

23 Abr 2007 en Seguridad

Oracle ha corregido 36 bugs de seguridad en diferentes productos de sus líneas. Es este uno de los lotes con menos correcciones entre las CPU (Critical Patch Update) realizadas hasta hoy, que ya con ésta, son diez.
No todos los bugs corregidos son nuevos. Entre los corregidos, algunos se remontan  al 2003, según la firma Red Database Security. De los 36 arreglos, 14 son para productos de base de datos. Luego le sigue la suite Oracle E-Businees con 11 correcciones de seguridad, dos de las cuales, según el parte, permiten explotación remota en la red sin necesidad de nombre de usuario y password.
Otras cinco correcciones son para Oracle Application Server, siendo una de ellas específica para Oracle Collaboration Suite. Para Enterprise Manager hay una corrección para una brecha que puede ser explotada remotamente sin autenticación alguna.
También reciben respectivos y únicos arreglos J.D. Edwards EnterpriseOne y OneWorldtools, como así también PeopleSoft Enterprise Human Capital Management.
La cantidad de correcciones ha ido decreciendo en forma regular. En enero fueron 51 brechas, mientras que en octubre del año pasado fueron 101.
En Oracle están muy satisfechos por la forma en que este régimen de CPU está funcionando para los clientes. Eric Maurice, gerente de seguridad en la unidad de negocio global de tecnología, afirma que “El mecanismo Critical Patch Update le da a los clientes una predicibilidad que es muy importante para ellos. El resultado es que pueden planificar las tareas con CPU e instalar los patches dentro de sus ventanas habituales de mantenimiento y evitar así interrupciones imprevistas en sus sistemas críticos.”
Maurice reconoce que este proceso no resulta fácil para Oracle, que debe “realizar un gran esfuerzo para producir y probar los patches en todas las combinaciones de productos y plataformas para poder llegar con la frecuencia de tres meses. Es por esa razón que, a partir del próximo lote, que llegará en julio, Oracle sólo actualizará a requerimiento aquellas combinaciones históricamente inactivas de sus productos Oracle Server y Middleware. Maurice cree que esta práctica no afectará a la gran mayoría de los clientes.