Oracle elimina 402 errores en una actualización masiva de parche de octubre - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Oracle elimina 402 errores en una actualización masiva de parche de octubre

Hola, ¿qué tal colega?. Te habla Eduardo Arroyo y en esta ocasión te voy a hablar sobre Oracle elimina 402 errores en una actualización masiva de parche de octubre

Oracle elimina 402 errores en una actualización masiva de parche de octubre

Más de la mitad de las fallas de Oracle en su actualización trimestral de parches se pueden explotar de forma remota sin autenticación; 65 son críticos y dos tienen puntuaciones CVSS de 10 sobre 10.

El gigante del software empresarial Oracle está instando a los clientes a actualizar sus sistemas en el lanzamiento de octubre de su actualización trimestral de parches críticos (CPU), que corrige 402 vulnerabilidades en varias familias de productos.

Más de la mitad (272) de estas vulnerabilidades abren productos para explotación remota sin autenticación. Esto significa que la falla puede explotarse en una red sin requerir credenciales de usuario.

La mayoría de los defectos se encuentran en Oracle Financial Services Applications (53), Oracle MySQL (53), Oracle Communications (52), Oracle Fusion Middleware (46), Oracle Retail Applications (28) y Oracle E-Business Suite (27) . Pero en general, 27 familias de productos de Oracle se ven afectadas por los defectos. Los usuarios pueden encontrar un documento de disponibilidad de parches para cada producto, disponible aquí.

«Oracle sigue recibiendo periódicamente informes de explotación maliciosa de vulnerabilidades para las que Oracle ya ha publicado parches de seguridad», según la empresa. lanzamiento el martes. «En algunos casos, se ha informado que los atacantes tuvieron éxito porque los clientes objetivo no pudieron aplicar los parches disponibles de Oracle. Por lo tanto, Oracle recomienda encarecidamente a los clientes que continúen usando versiones con soporte activo y que apliquen parches sin demora. Seguridad de actualización de parches críticos «.

Si bien los detalles de las fallas en sí son escasos, dos de las vulnerabilidades críticas reveladas por Oracle clasifican el puntaje de gravedad más alto (10 de 10) en la escala CVSS.

Estos incluyen una falla en el componente de análisis de autoservicio de Oracle Healthcare Foundation, una plataforma de análisis de salud unificada que forma parte de la suite Oracle Health Science Applications. La falla (CVE-2020-1953), que se puede explotar de forma remota sin necesidad de credenciales de usuario, no requiere interacción del usuario y es fácil de explotar, según Oracle. Las versiones compatibles afectadas incluyen 7.1.1, 7.2.0, 7.2.1 y 7.3.0.

La segunda falla importante (CVE-2020-14871) existe en el módulo de autenticación conectable de Oracle Solaris, su sistema operativo empresarial para Oracle Database y aplicaciones Java (parte de la matriz de riesgos de Oracle Systems). La falla se puede explotar de forma remota incluso sin las credenciales del usuario, no requiere interacción del usuario y es un ataque de «baja complejidad». Las versiones 10 y 11 se ven afectadas.

Sesenta y cinco de las vulnerabilidades también tenían una puntuación base CVSS de 9,8 (y seis tenían una puntuación de 9,4) sobre 10, lo que las hacía críticas en términos de gravedad.

Oracle ha ofrecido algunas soluciones, recomendando que para ataques que requieren ciertos privilegios o acceso a ciertos paquetes, eliminar privilegios o la capacidad de acceder a paquetes de usuarios que no los necesitan puede ayudar a reducir el riesgo de ataques exitosos. . Los usuarios también pueden reducir el riesgo de ataques exitosos bloqueando los protocolos de red requeridos por un ataque.

Sin embargo, ambos enfoques pueden comprometer la funcionalidad de la aplicación y Oracle no recomienda considerar ambos enfoques como una solución a largo plazo, ya que ninguno de ellos corrige el problema subyacente.

«Debido a la amenaza que representa un ataque exitoso, Oracle recomienda encarecidamente a los clientes que apliquen parches críticos de seguridad de actualización de parches tan pronto como sea posible», según la compañía.

Oracle lanza sus CPU el martes más cercano al día 17 de enero, abril, julio y octubre.

Las actualizaciones trimestrales anteriores han solucionado cientos de errores en las líneas de productos de la compañía, incluido uno en abril con el parche 405. También hay actualizaciones fuera de banda; En junio, por ejemplo, Oracle advirtió sobre una falla crítica de ejecución remota de código en su servidor WebLogic que estaba siendo explotado activamente en la naturaleza.

.

No te olvides compartir en en tu Twitter y Facebook para que tus amigos lo flipen

??? ? ? ???

Comparte