Oracle liberó numerosos patches para la seguridad de sus productos

24 Oct 2005 en Seguridad

Se trata de 89 vulnerabilidades que afectan a Oracle Database Server 10g, a oracle Application Server, a Oracle Collaboration Suite, a Oracle E-Business Suite & Applications y a J.D. Edwards EnterpriseOne.
En este lote se duplica la cantidad de patches respecto al anterior y algunos no se relacionan con la seguridad, según lo informó la empresa. De todos modos, esos patches deben ser aplicados debido a las interdependencias entre los bugs de seguridad y los componentes de software.
CERT/CC (Computer Emergency Response Team Coordination Center) recomendó a los administradores de seguridad que verifiquen los patches antes de aplicarlos. Por su parte, funcionarios de Oracle aclararon que los patches no son necesarios para las instalaciones sólo-cliente.
Oracle Database Server presenta 33 vulnerabilidades; Oracle Application Server tiene 14; Oracle Collaboration Suite, 13; Oracle E-Business Suite & Applications, 22; Oracle Enterprise Manager, 1; PeopleSoft Enterprise & J.D. Edwards EnterpriseOne, 6 vulnerabilidades.
Las vulnerabilidades exponen a la ejecución remota de comandos o código arbitrarios, acceso a información y denegación de servicio. Un atacante puede acceder a información de bases de datos Oracle.
Oracle no informa sobre aspectos específicos de los bugs de seguridad. Solamente informa qué componente se ve afectado, su versión y la severidad del riesgo al que está expuesto. En algunos casos, Oracle recomienda ciertas maniobras para la instalación de patches. De esta forma, desconocemos de qué clase de vulnerabilidades se trata.
Generalmente, los detalles de las vulnerabilidades son publicados por firmas de seguridad que estudian productos de software. En julio, una firma alemana de investigación informó que los usuarios de Oracle estaban expuestos a seis vulnerabilidades aun cuando aplicaran el más reciente patch.
Oracle proveía patches una vez al año, luego lo hizo cada tres meses y a partir de agosto de 2004, lo hizo mensualmente. Tras producirse atrasos en las entregas mensuales, se decidió retornar a la modalidad trimestral.