Oracle
publicará hoy martes 14 un grupo de parches de seguridad para sus productos. En
total hasta 144 vulnerabilidades serán corregidas, algunas de ellas
consideradas críticas, fallos explotables remotamente sin necesidad de autenticación.
Destacamos algunos de los
productos afectados:
Oracle Database Server
El servidor de bases de datos de
Oracle por excelencia recibirá 5 parches. Uno de ellos corrige una
vulnerabilidad de explotación remota sin necesidad de autenticación. La
gravedad de estas vulnerabilidades en su conjunto, sin embargo, no llegaría a
un 5.0 en la puntuación en el estándar CVSS según Oracle. Dentro del producto,
los componentes afectados serían: Core RDBMS y Spatial. Los parches no
afectarían a las instalaciones del cliente, tan solo al servidor.
Oracle MySQL
La popular y extendida base de
datos MySQL tiene pendientes hasta 18 parches, 3 de ellos corrigen
vulnerabilidades de explotación remota sin necesidad de credenciales. Es
especialmente recomendable la aplicación de este grupo de parches debido a que
la puntuación CVSS marcada llega a 10.0.
Esta puntuación, la máxima del
estándar, significa que posiblemente una de las vulnerabilidades permita la
ejecución remota de código arbitrario. Los componentes afectados son: MySQL
Enterprise Monitor y MySQL Server.
Oracle Virtualization
El sistema de virtualización de
Oracle, VirtualBox, recibirá 9 parches, 4 de ellos corregirán vulnerabilidades
de explotación remota sin autenticación. La puntuación CVSS máxima es de 6.8.
Los componentes afectados son: Oracle VM VirtualBox y Oracle Secure Global Desktop.
Oracle Java SE
La mala fama que arrastra Java
respecto a la seguridad, con numerosos exploits circulando y usados de manera
activa, ha hecho que Oracle redoble esfuerzos en su programa de seguridad. Esto
puede verse reflejado en la cantidad de parches que serán publicados, hasta 36.
De ellos, 34 permiten la explotación remota.
En el avance, Oracle destaca que
la puntuación CVSS máxima alcanzada por este grupo de parches es de 10.0. Esto
significa que al menos una (posiblemente más) permitiría la ejecución de código
remoto.
Hemos de recordar que la versión
6 de Java no tendrá parches. Esta versión se encuentra fuera de soporte y no
verá actualizaciones liberadas. Esto supone un verdadero peligro si tenemos en
cuenta que posiblemente algunas de las vulnerabilidades corregidas para la versión
7 podrían afectar a la versión 6.
Los componentes afectados son:
Java SE, Java SE Embedded, JavaFX y JRockit.
Para más información y el resto
de productos afectados podemos leer la notificación de avance de publicación de
parches de Oracle:
Más información:
Oracle Critical Patch Update Pre-Release
Announcement - January 2014
David García
Twitter: @dgn1729
No hay comentarios:
Publicar un comentario