Oracle soluciona 405 vulnerabilidades en su lanzamiento trimestral de parches de seguridad

Oracle detallará 405 nuevas vulnerabilidades de seguridad el martes, parte de su Aviso trimestral de actualización de parches críticos.

Los administradores de Oracle están mirando el barril de una actualización trimestral masiva de parches críticos que incluye 405 parches.

El gigante de software empresarial Oracle Corp. reveló que 286 de esas vulnerabilidades son explotables de forma remota en casi dos docenas de líneas de productos.

Impactos con múltiples fallas críticas, con una calificación de 9.8 CVSS en gravedad, son 13 productos clave de Oracle que incluyen Oracle Financial Services Applications, Oracle MySQL, Oracle Retail Applications y Oracle Support Tools, según el anuncio previo al lanzamiento de la actualización crítica de abril de la compañía, publicado el lunes.

Oracle abordará cada uno de los errores con consejos o parches de mitigación el martes, coincidiendo con el lanzamiento de parches de martes de parches de abril de Microsoft. Eso mantendrá a los administradores de sistemas y redes gravados con una avalancha de vulnerabilidades críticas con las que lidiar.

Oracle Fusion Middleware solo informa 49 «vulnerabilidades [que] pueden explotarse de forma remota sin autenticación, es decir, pueden explotarse en una red sin requerir credenciales de usuario», según el boletín.

Oracle dijo en total que su familia de software Fusion Middleware tiene 56 nuevos parches de seguridad que afectan a casi 20 servicios relacionados, incluidos Identity Manager Connector (v. 9.0), Big Data Discovery (v. 1.6) y WebCenter Portal (v. 11.1.1.9. 0, 12.2.1.3.0, 12.2.1.4.0).

La actualización gigantesca también incluye fallas de gravedad media para su Plataforma Java, Edición estándar (Java SE), uso para desarrollar e implementar aplicaciones Java. Quince errores, con una clasificación CVSS de 8.5, pueden ser explotados de forma remota por un atacante no autenticado a través de una red; no se requieren credenciales de usuario.

Los detalles de los errores de Java SE, junto con información técnica y orientación de mitigación para los 405 defectos, estarán disponibles el martes.

Oracle también parchó 34 vulnerabilidades críticas en el conjunto de aplicaciones de Oracle Financial Services, 14 de las cuales son explotables de forma remota. Se identificaron cuarenta y cinco errores en Oracle MySQL, nueve de los cuales son explotables de forma remota con una calificación CVSS de 9.8.

La popular línea de servidor de base de datos de Oracle tenía solo nueve errores de seguridad, dos son explotables de forma remota y tienen una calificación CVSS de 8.0. Al igual que con muchos otros productos de Oracle afectados por fallas este trimestre, Oracle dijo que ninguno de los errores del Servidor de bases de datos «son aplicables a instalaciones solo para clientes, es decir, instalaciones que no tienen instalado el Servidor de bases de datos Oracle».

Referencia: https://threatpost.com/oracle-tackles-405-bugs-for-april-quarterly-patch-update/154737/