¿Usas software de Oracle? Actualiza para corregir vulnerabilidades

La desarrolladora de software Oracle ha hecho público hace escasos días su July 2017 Critical Patch Update (CPU) o lo que es lo mismo, el boletín de actualizaciones de seguridad de sus productos para este mes. Se ha alcanzado en este período un número récord de vulnerabilidades, nada menos que 308 y de las cuales 30 son críticas.

Vulnerabilidades en software de Oracle

22 productos han salido en la foto este mes por estar afectados. Esto incluye software tan diverso como Oracle Database Server, Oracle Enterprise Manager, Oracle Fusion Middleware, Oracle Hyperion, Oracle Sun, Oracle Java SE, MySQL…

¿Usas software de Oracle Actualiza para corregir vulnerabilidades

27 de las 308 vulnerabilidades detalladas en este boletín son catalogadas como críticas, con un CVSS de 9.0 y 10.0. La mitad de los fallos de seguridad podrían ser explotados remotamente sin necesidad de tener un usuario autenticado.

El CVSS o Common Vulnerability Scoring System es una escala de medida que indica la severidad de una amenaza en caso de ser aprovechada por un atacante, en base a las consecuencias que puede desencadenar.

  • Solaris: El CVE-2017-3632 se refiere a la posibilidad de escalar privilegios mediante el Solaris CDE Calendar. El resto de problemas podrían producir ataques de denegación de servicio (DoS) o afectar a la integridad de los archivos.
  • Java SE: hasta 10 vulnerabilidades críticas en Java aparecen en este mes de Julio, nueve de las cuales tienen un CVSS de 9.6. Según Oracle, 28 de las 32 totales podrían ser explotadas remotamente sin autenticación.
  • MySQL: otras 3o vulnerabilidades encontradas, 9 de las cuales son aprovechables remotamente.
  • Peoplesoft: en torno a 30 vulnerabilidades encontradas en este software, de las cuales 20 podrían usarse sin usuario autenticado y remotamente.
  • Weblogic Server Automation: este middleware está afectado por un fallo de seguridad con ID CVE-2017-10137 y que permitiría elevar privilegios a los atacantes.
  • E-Business Suite: este software sufre una preocupante vulnerabilidad que permite revelación de información a un tercero (CVE-2017-10244). Se pueden exfiltrar datos de la empresa sin requerir una cuenta del sistema.

Especialmente grave resulta la última mencionada, puesto que solo requeriría de un navegador web y acceso mediante la red al sistema EBS para funcionar.

Descarga las actualizaciones rápido

Este Critical Patch Update o CPU es uno de los más importantes hasta la fecha, porque el número de productos afectados es inmenso. Muchas empresas tienen algún producto de Oracle (y muchos particulares, también) y es más necesario que nunca acortar los ciclos de parcheado para mantener los sistemas seguros.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.