Oracle incluye 65 parches en su última actualización de seguridad
En el marco de su servicio de actualizaciones trimestrales de seguridad Critical Patch Update, Oracle ha introducido 65 parches para una amplia variedad de su oferta software. Los parches resuelven problemas en los productos de bases de datos, servidor de aplicaciones, y aplicaciones de e-business del fabricante.
Esta actualización, emitida ayer, también incluye parches para el software cliente que trabaja con las bases de datos Oracle. Más concretamente, son 23 los parches que cubren vulnerabilidades de los servidores de base de datos y cuatro los desarrollados para resolver problemas en los clientes.
Algunos de ellos resuelven una brecha hecha pública en la lista Bugtraq (http://www.securityfocus.com/archive/1/431353/30/threaded) en abril. Otros, cubren una vulnerabilidad revelada inadvertidamente por la propia Oracle en su servicio de soporte Metalink, e inmediatamente retirada de él.
El número de parches para Oracle Application Server asciende a diez, mientras que son 20 los diseñados para Oracle E-Business Suite.
Muchas de las brechas cubiertas en esta actualización están relacionadas con un protocolo de networking propietario denominado Oracle Net y utilizado por la base de datos del fabricante. Durante el año pasado, aumentó considerablemente el esfuerzo de los expertos por analizar la seguridad de esta tecnología de networking propietaria.
“Nadie lo había explorado hasta ahora, pero cuando se empieza a investigar en estos protocolos, porco conocidos y claros, se descubren generalmente múltiples vulnerabilidades”, explica Amichai Shulmand, CTO de Imperva. Además, según Shulmand, a menudo, las vulnerabilidades a nivel de red son las más peligrosas, “porque no requieren credencial de base de datos alguna para ser explotadas”.
Oracle emitirá su próxima actualización de seguridad el día 17 de octubre.
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2006.html
Algunos de ellos resuelven una brecha hecha pública en la lista Bugtraq (http://www.securityfocus.com/archive/1/431353/30/threaded) en abril. Otros, cubren una vulnerabilidad revelada inadvertidamente por la propia Oracle en su servicio de soporte Metalink, e inmediatamente retirada de él.
El número de parches para Oracle Application Server asciende a diez, mientras que son 20 los diseñados para Oracle E-Business Suite.
Muchas de las brechas cubiertas en esta actualización están relacionadas con un protocolo de networking propietario denominado Oracle Net y utilizado por la base de datos del fabricante. Durante el año pasado, aumentó considerablemente el esfuerzo de los expertos por analizar la seguridad de esta tecnología de networking propietaria.
“Nadie lo había explorado hasta ahora, pero cuando se empieza a investigar en estos protocolos, porco conocidos y claros, se descubren generalmente múltiples vulnerabilidades”, explica Amichai Shulmand, CTO de Imperva. Además, según Shulmand, a menudo, las vulnerabilidades a nivel de red son las más peligrosas, “porque no requieren credencial de base de datos alguna para ser explotadas”.
Oracle emitirá su próxima actualización de seguridad el día 17 de octubre.
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2006.html
