Avance de parches de Oracle, hasta 144 vulnerabilidades corregidas

Oracle publicará hoy martes 14 un grupo de parches de seguridad para sus productos. En total hasta 144 vulnerabilidades serán corregidas, algunas de ellas consideradas críticas, fallos explotables remotamente sin necesidad de autenticación.

Destacamos algunos de los productos afectados:

1. Oracle Database Server.-  El servidor de bases de datos de Oracle por excelencia recibirá 5 parches. Uno de ellos corrige una vulnerabilidad de explotación remota sin necesidad de autenticación. La gravedad de estas vulnerabilidades en su conjunto, sin embargo, no llegaría a un 5.0 en la puntuación en el estándar CVSS según Oracle. Dentro del producto, los componentes afectados serían: Core RDBMS y Spatial. Los parches no afectarían a las instalaciones del cliente, tan solo al servidor.
2. Oracle MySQL.-  La popular y extendida base de datos MySQL tiene pendientes hasta 18 parches, 3 de ellos corrigen vulnerabilidades de explotación remota sin necesidad de credenciales. Es especialmente recomendable la aplicación de este grupo de parches debido a que la puntuación CVSS marcada llega a 10.0. Esta puntuación, la máxima del estándar, significa que posiblemente una de las vulnerabilidades permita la ejecución remota de código arbitrario. Los componentes afectados son: MySQL Enterprise Monitor y MySQL Server.
3. Oracle Virtualization.- El sistema de virtualización de Oracle, VirtualBox, recibirá 9 parches, 4 de ellos corregirán vulnerabilidades de explotación remota sin autenticación. La puntuación CVSS máxima es de 6.8. Los componentes afectados son: Oracle VM VirtualBox y Oracle Secure Global Desktop.
4. Oracle Java SE.- La mala fama que arrastra Java respecto a la seguridad, con numerosos exploits circulando y usados de manera activa, ha hecho que Oracle redoble esfuerzos en su programa de seguridad. Esto puede verse reflejado en la cantidad de parches que serán publicados, hasta 36. De ellos, 34 permiten la explotación remota.

 En el avance, Oracle destaca que la puntuación CVSS máxima alcanzada por este grupo de parches es de 10.0. Esto significa que al menos una (posiblemente más) permitiría la ejecución de código remoto.

Cabe recordar que la versión 6 de Java no tendrá parches. Esta versión se encuentra fuera de soporte y no verá actualizaciones liberadas. Esto supone un verdadero peligro si tenemos en cuenta que posiblemente algunas de las vulnerabilidades corregidas para la versión 7 podrían afectar a la versión 6. 

Los componentes afectados son: Java SE, Java SE Embedded, JavaFX y JRockit.

Más información:

• Una al día (14/01/2014)  http://unaaldia.hispasec.com/2014/01/avance-de-parches-de-oracle-hasta-144.html
• Oracle Critical Patch Update Pre-Release Announcement - January 2014 http://www.oracle.com/technetwork/topics/security/cpujan2014-1972949.html
• Para más información y el resto de productos afectados podemos leer la notificación de avance de publicación de parches de Oracle:  http://www.oracle.com/technetwork/topics/security/cpujan2014-1972949.html

Fuente: Hispasec