Fuente: SearchSecurity.com

Oracle publicó su actualización trimestral de parches críticos, corrigiendo 33 fallas en su portafolio de productos incluyendo debilidades críticas en Oracle Database y servidor BEA WebLogic.

La actualización repara 10 vulnerabilidades de la base de datos. Tres vulnerabilidades pueden ser explotadas remotamente sin autenticación. Los componentes de la base de datos afectados por los errores incluyen Network Foundation, replicación avanzada, autenticación de red, listener, Secure Enterprise Search y gestión de configuración, dijo Oracle.

A la capa de protocolo de red, responsable de establecer y mantener las conexiones, se le dio una puntuación de 9 en el Sistema Común de Calificación de Vulnerabilidades (CVSS) en Windows. Una explotación exitosa podría resultar en un control completo de la base de datos.

“Dado que se trata de un ataque a nivel de protocolo, las herramientas que sólo supervisan la actividad de SQL, soluciones de auditoría nativas, o soluciones que tienen visibilidad sólo de la actividad interna basada en el host, no tendrán ningún indicio de que el servidor está bajo ataque”, dijo en una declaración Amichai Shulman, Director de Tecnología y fundador del proveedor de seguridad de bases de datos Imperva.

Dos parches de seguridad fueron emitidos para Oracle Secure Backup. Una de las vulnerabilidades recibió un puntaje CVSS de 10 en Windows. Es remotamente explotable, no requiere autenticación y podría permitir a un atacante tomar el control completo de un sistema.

La actualización también incluye cinco nuevos parches de seguridad de Oracle para el servidor BEA WebLogic. A una falla crítica en la Máquina Virtual de Java de Oracle JRockit se le dio el puntaje CVSS más alto de 10. La solución incluye una actualización para Sun Java Runtime Environment, corrigiendo siete errores.

Oracle reparó dos debilidades en Oracle Application Server que afectan a Oracle Security Developer Tools y el servidor HTTP. Las vulnerabilidades pueden ser explotables remotamente sin autenticación y puede ser aprovechadas a través de una red sin la necesidad de un nombre de usuario y contraseña, dijo Oracle.

Cinco fallas fueron corregidas en Oracle E-Business Suite, las cuales afectan a la Oracle Application Object Library, Application Install, Application Framework, la aplicación de e-commerce empaquetada iStore y Application Manager. Oracle revela que tres de las vulnerabilidades son remotamente explotables.

Oracle abordó dos fallas de seguridad en Oracle Enterprise Manager. Ambas vulnerabilidades requieren autenticación y no son explotables remotamente, dijo Oracle.

Oracle emitió tres parches de seguridad para Oracle PeopleSoft y JDEdwards Suite y corrigió una sola falla en Oracle Siebel Suite.