Oracle lanza otra actualización de parche de seguridad de Mammoth



La CPU de octubre contiene 402 parches para vulnerabilidades en 29 conjuntos de productos, muchos de los cuales se pueden ejecutar de forma remota sin necesidad de autenticación.

Por segundo trimestre consecutivo de este año, la última actualización de parches críticos (CPU) de Oracle lanzada esta semana contenía más de 400 parches de seguridad que abordan vulnerabilidades en una amplia gama de conjuntos de productos de la compañía.

Con 402 parches, la CPU de octubre de 2020 de Oracle era ligeramente más pequeña que la anterior en julio, que contenía 444 parches de seguridad récord. Pero la CPU de octubre aborda más vulnerabilidades de seguridad en más productos que la actualización del parche anterior.

El nuevo UPC aborda 18 vulnerabilidades en la tecnología de foundation de datos central de Oracle. Dieciséis de esos defectos se pueden explotar de forma remota, cuatro sin que el atacante tenga que autenticarse en el sistema. La CPU de octubre también incluyó 46 parches para el middleware Oracle Fusion, otro componente importante de Oracle E-Business enterprise Suite de la compañía. Treinta y seis de estos defectos se pueden explotar de forma remota a través de la crimson, sin necesidad de autenticación de usuario.

En whole, la CPU de octubre de 2020 de Oracle incluyó parches para 28 conjuntos de productos, incluidos Oracle Massive Info Graph, Rest Data Providers, TimesTen In-Memory Database, Communications Apps, Company Hazard Supervisor y Money Providers Apps.

Con la CPU de octubre, Oracle también incluyó por primera vez parches para vulnerabilidades no explotables en código abierto y otros componentes de terceros utilizados en sus diversos productos. El cambio debería facilitar a las organizaciones la identificación de vulnerabilidades que no son explotables en el contexto de cualquier distribución de productos Oracle, dijo Eric Maurice, director de garantía de seguridad de Oracle, en un Blog.

«El objetivo de Oracle es simplificar la interpretación del aviso y permitir que los clientes identifiquen claramente los problemas que son potencialmente explotables», dijo Maurice.

Según un análisis de la empresa de seguridad de aplicaciones Waratek, unos 20 de los conjuntos de productos afectados por la actualización de octubre contienen vulnerabilidades con una calificación de gravedad crítica de 9,8 o 10. Es preocupante que el 100% de las vulnerabilidades en Java SE que se abordaron con el parche de este mes La actualización se puede ejecutar de forma remota con las credenciales de usuario. Lo mismo ocurre con el 93% de las vulnerabilidades parcheadas esta semana en Oracle E-Small business Suite, el 80% de las de PeopleSoft y el 78% de Fusion Middleware.

«Esta CPU refleja el flujo y reflujo recurring de la investigación de vulnerabilidades», dice John Adams, director ejecutivo de Waratek. Si bien algunas CPU de Oracle, como la de julio, eran enormes, la cantidad de productos afectados fue menor. «Esta CPU es más pequeña, pero aún grande, y afecta a más productos con vulnerabilidades de mayor riesgo», dice.

A lo que las organizaciones deben prestar atención con esta CPU es al alto porcentaje de errores que se pueden ejecutar de forma remota en todo el conjunto de productos, dice Adams.

Oracle Fusion Middleware, por ejemplo, tiene 18 vulnerabilidades recientemente reveladas con una clasificación de gravedad de 9,8. Tales fallas deberían recibir una alta prioridad de los equipos que mantienen los productos, señala.

El desafío de parchear
Como uno de los proveedores de servicios y software empresarial más grandes del mundo, las tecnologías de Oracle se implementan ampliamente en organizaciones de todo el mundo. Muchos de sus productos, especialmente sus tecnologías de bases de datos, impulsan cargas de trabajo críticas para el negocio en muchas de las empresas más grandes del mundo.

Aun así, muchas organizaciones han sido relativamente lentas en implementar parches como los que la compañía anunció esta semana debido a múltiples problemas. Según Adams, según la propia admisión de Oracle, su cliente promedio tarda seis o más meses en implementar completamente una CPU en toda la empresa, a pesar de que los atacantes a menudo pueden explotar las vulnerabilidades recientemente reveladas en solo horas o días, dice.

Una de las razones es el enorme tamaño de algunas de las CPU de Oracle, señala Adams. Aunque una organización puede necesitar solo algunos de los parches en una actualización, se ve obligada a tomar el conjunto completo. Esto puede crear desafíos e incluso potencialmente la interrupción de la funcionalidad de los sistemas de misión crítica.

«El riesgo de interrupción es muy preocupante para la mayoría de las empresas con las que hablamos», dice Adams.

Otro gran problema es el tiempo de inactividad. La mayoría de las organizaciones no pueden permitirse la interrupción asociada con la implementación de parches, especialmente en las aplicaciones orientadas al cliente. Por lo tanto, tienden a implementar nuevos parches en entornos que no son de producción y luego prueban su compatibilidad antes de implementarlos en un sistema de producción.

«Todo este esfuerzo, junto con la alineación de los recursos para administrar las actualizaciones, a menudo lleva meses coordinarse».

Avi Shua, CEO y cofundador de Orca Stability, dice que parchear sistemas críticos, especialmente tecnologías como Oracle DB y VM VirtualBox, es crítico pero también problemático.

«Los clientes deben realizar pruebas exhaustivas con todo su ecosistema antes de pasar a producción», dice Shua. «En algunos casos, no pueden pasar a una versión actualizada antes de garantizar que todos los ecosistemas admitan la nueva versión».

Shua dice que se ha encontrado con situaciones en las que las organizaciones tenían que elegir entre parchear una falla crítica o dejarla abierta y correr el riesgo de quedarse sin soporte hasta por nueve meses porque estaban usando un producto no certificado con nuevas versiones.

«Además de la recomendación estándar de parchear, creo que es igualmente importante asegurarse de tener una topología bien entendida de su entorno», dice Shua. «Preferiblemente, esto se puede recopilar mediante herramientas automáticas, que también permiten la priorización de riesgos según su contexto».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first