Siguiendo
su ritmo de publicación trimestral de actualizaciones, Oracle publica su
actualización correspondiente al mes de abril. Contiene parches para 299 nuevas
vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes
familias, que van desde el popular gestor de base de datos Oracle Database
hasta Solaris, Java o MySQL.
Los
fallos se dan en varios componentes de múltiples productos y como es habitual
la lista completa de productos afectados es cada vez más extensa. Se concreta
en las siguientes familias:
- Oracle Database
Server
- Oracle Secure Backup
- Oracle Berkeley
DB
- Oracle Fusion
Middleware
- Oracle Hyperion
- Oracle
Enterprise Manager Grid Control
- Oracle
E-Business Suite
- Oracle Supply
Chain Products Suite
- Oracle
PeopleSoft Products
- Oracle JD
Edwards Products
- Oracle Siebel
CRM
- Oracle Commerce
- Oracle
Communications Applications
- Oracle Financial
Services Applications
- Oracle Health
Sciences Applications
- Oracle
Hospitality Applications
- Oracle Insurance
Applications
- Oracle Retail
Applications
- Oracle Utilities
Applications
- Oracle Primavera
Products Suite
- Oracle Java SE
- Oracle Sun
Systems Products Suite
- Oracle
Virtualization
- Oracle MySQL
- Oracle Support
Tools
Detalle
de la actualización
- Dos nuevas vulnerabilidades corregidas en Oracle
Database Server y otra en Oracle Secure Backup (explotable remotamente sin
autenticación).
- Para la suite de productos Oracle Sun Systems se
incluyen 21 nuevas actualizaciones, 10 de ellas afectan directamente a
Solaris.
- 39 nuevas vulnerabilidades afectan a MySQL Server
(11 de ellas podrían ser explotadas por un atacante remoto sin
autenticar).
- 14 nuevos parches para Oracle Berkeley DB (ninguna
de estas vulnerabilidades es exploitable remotamente sin autenticación).
- Otras 31 vulnerabilidades afectan a Oracle Fusion
Middleware. 20 de ellas podrían ser explotadas por un atacante remoto sin
autenticar. Los componentes afectados son: Oracle API Gateway, Oracle
Fusion Middleware MapViewer, Oracle GlassFish Server, Oracle Identity
Manager, Oracle Service Bus, Oracle Social Network, Oracle WebCenter
Content, Oracle WebCenter Sites y Oracle WebLogic Server.
- Esta actualización contiene dos nuevas
actualizaciones de seguridad para Oracle Enterprise Manager Grid Control,
ambas explotables remotamente sin autenticación.
- Dentro de Oracle Applications, 11 parches son para
Oracle E-Business Suite, uno es para la suite de productos Oracle Supply
Chain, 16 para productos Oracle PeopleSoft, uno para productos Oracle JD
Edwards, uno para Oracle Siebel CRM y tres para Oracle Commerce.
- Se incluyen también 11 nuevos parches para Oracle
Communications Applications, nueve de ellos tratan vulnerabilidades
explotables remotamente sin autenticación. También se solucionan 47 nuevas
vulnerabilidades en Oracle Financial Services Applications (25 explotables
remotamente).
- Una vulnerabilidad exploitable remotamente sin
autenticación en Oracle Health Sciences Applications y otras seis en
Oracle Hospitality Applications (solo una exploitable remotamente).
- Una actualización para Oracle Insurance Applications
y 39 para Oracle Retail Applications, 32 de ellas explotables remotamente
sin autenticación.
- También se incluyen siete nuevos parches de
seguridad para Oracle Utilities Applications (todas explotables
remotamente sin autenticación) y siete para la suite de productos Oracle
Primavera, cuatro de ellas podrían explotarse de forma remota sin
autenticación.
- En lo referente a Oracle Java SE se incluyen ocho
nuevos parches de seguridad, siete de ellos referentes a vulnerabilidades
que podrían ser explotadas por un atacante remoto sin autenticar.
- Esta actualización también contiene 15 parches para
Oracle Virtualización, 13 para Oracle Support Tools y uno para Oracle
Hyperion.
Recomendación
Se
recomienda comprobar las matrices de productos afectados, gravedad y la
disponibilidad de parches, disponibles desde la notificación oficial en:
- Oracle Critical
Patch Update Advisory – April 2017 http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html
Más
información:
- Oracle Critical
Patch Update Advisory - April 2017 http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html