Blog de Informática y Seguridad en Internet: ORACLE. Corrige 299 vulnerabilidades en su actualización de seguridad de abril

26 de abril de 2017

ORACLE. Corrige 299 vulnerabilidades en su actualización de seguridad de abril

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su actualización correspondiente al mes de abril. Contiene parches para 299 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. Se concreta en las siguientes familias:

Oracle Database Server
Oracle Secure Backup
Oracle Berkeley DB
Oracle Fusion Middleware
Oracle Hyperion
Oracle Enterprise Manager Grid Control
Oracle E-Business Suite
Oracle Supply Chain Products Suite
Oracle PeopleSoft Products
Oracle JD Edwards Products
Oracle Siebel CRM
Oracle Commerce
Oracle Communications Applications
Oracle Financial Services Applications
Oracle Health Sciences Applications
Oracle Hospitality Applications
Oracle Insurance Applications
Oracle Retail Applications
Oracle Utilities Applications
Oracle Primavera Products Suite
Oracle Java SE
Oracle Sun Systems Products Suite
Oracle Virtualization
Oracle MySQL
Oracle Support Tools

Detalle de la actualización

Dos nuevas vulnerabilidades corregidas en Oracle Database Server y otra en Oracle Secure Backup (explotable remotamente sin autenticación).
Para la suite de productos Oracle Sun Systems se incluyen 21 nuevas actualizaciones, 10 de ellas afectan directamente a Solaris.
39 nuevas vulnerabilidades afectan a MySQL Server (11 de ellas podrían ser explotadas por un atacante remoto sin autenticar).
14 nuevos parches para Oracle Berkeley DB (ninguna de estas vulnerabilidades es exploitable remotamente sin autenticación).
Otras 31 vulnerabilidades afectan a Oracle Fusion Middleware. 20 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle API Gateway, Oracle Fusion Middleware MapViewer, Oracle GlassFish Server, Oracle Identity Manager, Oracle Service Bus, Oracle Social Network, Oracle WebCenter Content, Oracle WebCenter Sites y Oracle WebLogic Server.
Esta actualización contiene dos nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, ambas explotables remotamente sin autenticación.
Dentro de Oracle Applications, 11 parches son para Oracle E-Business Suite, uno es para la suite de productos Oracle Supply Chain, 16 para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards, uno para Oracle Siebel CRM y tres para Oracle Commerce.
Se incluyen también 11 nuevos parches para Oracle Communications Applications, nueve de ellos tratan vulnerabilidades explotables remotamente sin autenticación. También se solucionan 47 nuevas vulnerabilidades en Oracle Financial Services Applications (25 explotables remotamente).
Una vulnerabilidad exploitable remotamente sin autenticación en Oracle Health Sciences Applications y otras seis en Oracle Hospitality Applications (solo una exploitable remotamente).
Una actualización para Oracle Insurance Applications y 39 para Oracle Retail Applications, 32 de ellas explotables remotamente sin autenticación.
También se incluyen siete nuevos parches de seguridad para Oracle Utilities Applications (todas explotables remotamente sin autenticación) y siete para la suite de productos Oracle Primavera, cuatro de ellas podrían explotarse de forma remota sin autenticación.
En lo referente a Oracle Java SE se incluyen ocho nuevos parches de seguridad, siete de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
Esta actualización también contiene 15 parches para Oracle Virtualización, 13 para Oracle Support Tools y uno para Oracle Hyperion.