Oracle lanza una campaña masiva de parches de seguridad

No es normal que una compañía tenga que lanzar 334 parches de seguridad para sus productos en un trimestre. Y sin embargo, este es el hito que se ha marcado Oracle en el estreno de 2020. Como explican en InfoSecurity Magazine, en la última semana la compañía ha tenido que corregir distintas vulnerabilidades para más de 90 productos.

A diferencia de otras ocasiones, estos parches no se han lanzado de forma «preventiva» (por lo que pudiera pasar). Más bien al contrario: en un tono inusualmente duro, la multinacional ha urgido a los responsables TI de las empresas a aplicar los parches, toda vez que ha asegurado que ya se han reportado los primeros casos de clientes en los que los atacantes han podido explotar con éxito sistemas no securizados.

Hasta que se prueba el rendimiento de estos parches de seguridad sin embargo, Oracle ha dado otra solución que los clientes pueden aplicar a corto plazo y que pasaría por aislar elementos críticos a los que los atacantes necesitarían acceder para desarrollar con éxito su incursión.

Lo explica de esta forma en su web: «hasta que se apliquen los parches de actualización de parches críticos, puede ser posible reducir el riesgo de un ataque exitoso bloqueando los protocolos de red requeridos por un ataque. En el caso de los ataques que requieren ciertos privilegios o acceso a determinados paquetes, la eliminación de los privilegios o la posibilidad de acceder a los paquetes de los usuarios que no necesitan los privilegios puede ayudar a reducir el riesgo de un ataque exitoso».

Sin embargo y como también reconocen desde la multinacional, con ambas aproximaciones se corre el riesgo de poner en peligro parte de la funcionalidad, por lo que la recomendación una vez más pasa por testearlas en un entorno de pruebas y solo si los resultados son buenos aplicar los parches en el entorno de producción. También reconoce la compañía que incluso si se aplican las actualizaciones de seguridad propuestas, no se trata de una solución a largo plazo ya que aunque tapa algunos agujeros, habrá que esperar a una actualización mayor que corrija un problema de fondo persistente.

Entre los productos afectados se encuentran algunas de sus plataformas más populares como: Oracle Database Server, que presentó 12 nuevos parches, incluidos tres que se pueden explotar de forma remota; Oracle Communications Applications (25 parches, 23 de los cuales se pueden explotar de forma remota); Oracle E-Business Suite (23, 21); Oracle Enterprise Manager (50, 10); Fusion Middleware (38, 30); Java SE (12); JD Edwards (9); MySQL (19, 6); Siebel CRM (5); Oracle Virtualization (22, 3); y PeopleSoft (15, 12).