Oracle pide a usuarios la urgente aplicación de patches en sus productos

3 Sep 2004 en Software

El líder de las bases de datos acaba de lanzar su primer boletín mensual de seguridad con varios patches para múltiples brechas de seguridad consideradas de alto riesgo.
La empresa enfrenta críticas de todo tipo de parte de los expertos en seguridad por sus demoras en la liberación de arreglos para las fallas de seguridad en sus productos.
La empresa publicó un archivo PDF conteniendo una advertencia en la que habla de bugs potencialmente dañinos en Oracle Database Server, Oracle Application Server, Oracle Enterprise Manager y en Oracle Collaboration Suite. Sin embargo, no se dieron detalles específicos sobre las vulnerabilidades y la gente de Oracle adujo que maliciosos atacantes podrían aprovechar los agujeros para copar servicios, manipular datos, exponer información sensitiva del sistema y realizar ataques DoS.
Si no se aplican los patches, el riesgo es elevado. La explotación de algunas de esas vulnerabilidades requieren acceso a la red, pero no de una cuenta de usuario válida, según informó Oracle. El comunicado indica que no existen maniobras para solucionar el problema y que se recomienda enfáticamente aplicar los patches sin demora.
La compañía dispuso en forma online de una matriz de los patches disponibles en: http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=281189.1
Por su parte, la firma Secunia calificó a las fallas de “altamente críticas” y liberó un análisis de las versiones de productos Oracle afectadas. Están disponibles en: http://secunia.com/advisories/12409/ . Por su parte, la firma Integrity, que colaboró con Oracle en la identificación de las fallas, comunicó que las fallas pueden ser explotadas en todas las implementaciones de aplicaciones Oracle. El alerta de Integrity está en: http://www.integrigy.com/alerts/OraAlert68OraAppsImpact.htm
Las vulnerabilidades incluyen overflows de buffers, problemas de inyección SQL y DoS. Se consideran críticas porque el atacante puede tomar el control de servidor de aplicación o base de datos sin un login válido.