Tal y como lo comentamos, el nuevo CPU- Critical Patch Update- para productos del portafolio Oracle, ya se encuentra disponible, para bajar y ser aplicado, a una amplia gama de productos, que va desde el motor de la base de datos, pasando por los productos de capa intermedia, aplicaciones de E-Business y sistema operativo SUN.
La documentación técnica sobre el contenido y alcance de este nuevo CPU, esta visible en el MOS en la siguiente liga: http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1273550.1
Adicionalmente, han confirmado, las siguientes fechas, para la liberación de las siguientes revisiones de seguridad:
- 19 April 2011
- 19 July 2011
- 18 October 2011
- 17 January 2012
- 15 February 2011
- 07 June 2011
- 18 October 2011
Como ya lo habíamos comentando, los productos más afectados con este nuevo CPU, son el Oracle Weblogic Server, el Audit Vault, el sistema operativo Solaris y las aplicaciones de escritorio Oracle OpenOffice, cuya calificación de riesgo, supera los 9 puntos en una escala del 1 a 10 en la matrix, suministrada por la propia compañía Oracle.
NVD Vulnerability Severity Ratings
La evaluación de severidad por parte de NVD provee tres niveles de calificación:- Baja
- Media
- Alta
- Las vulnerabilidades etiquetadas como "bajas", son aquellas que se encuentra en una escala númerica comprendida entre 0.0 y 3.9
- Las vulnerabilidades etiquetadas como "medias" son las comprendidas entre 4.0 y 6.9 en la escala númerica.
- Las vulnerabilidad consideradas como "altas" son las que van en la escala númerica de 7.0 a 10.0
Recuerde que los CPU, únicamente afectan aquellos productos que se encuentran en el ciclo de vida, con soporte Premier Support ó Extended Support.
Los productos que se encuentran fuera de soporte, no son tomados en consideración, para evaluación de aplicación y creación de nuevos CPU.
Si tiene duda, sobre el ciclo de vida de su producto, puede consultar la política actual en el siguiente link: http://www.oracle.com/us/support/lifetime-support/index.html?ssSourceSiteId=otnen
Merece comentario aparte el siguiente parráfo, del comunicado de Oracle sobre este tema:
"Skipped Critical Patch Updates
Oracle strongly recommends that customers apply security fixes as soon as possible. For customers that have skipped one or more Critical Patch Updates and are concerned about products that do not have security fixes announced in this CPU, please review previous Critical Patch Update advisories to determine appropriate actions."
Como pueden confirmar, Oracle recomienda aplicar estas correciones de seguridad a sus clientes, pero hace una aclaración a los clientes que no hallan aplicado los anteriores CPU, llamándoles a verificar el contenido de los mismos, antes determinar las acciones apropiadas, que deba realizar.
No hay comentarios:
Publicar un comentario
Te agradezco tus comentarios. Te esperamos de vuelta.