Oracle liberó el día de hoy su nuevo CPU de seguridad y como si fuera asunto de nunca acabar, en esta ocasión, se reporta más de 57 "remiendos" a lo largo de toda su familia de productos.
Tal vez, lo más relevante del informe, es la aparición de dos vulnerabilidades, entre las más importantes para la base de datos, ligadas a un producto de "SEGURIDAD" y de un conjunto importante de vulnerabilidades del sistema operativo SOLARIS.
En esta ocasión el Oracle Database Vault, es el gran protagonista a nivel de la base de datos, aunque si vale hacer mención, el valor de CVE dado a dicha vulnerabilidad no supera el valor de 4 en una escala de 1 al 10. Las dos vulnerabilidades atacadas en este CPU son CVE-2011-3511, CVE-2011-2322, las cuáles pueden consultar sus alcances en la página de CVE.
A nivel de base de datos, el producto con mayor puntaje calificado es el Oracle Application Express, con un valor de 6.5 y que afecta tanto a la versión 3.2 como a la más reciente 4.0
En otras familias del portafolio de soluciones de Oracle, sobresale Oracle Weblogic Portal, con un 6.8, aplicable a CVE-2011-2255.
El payaso de la fiesta, fue esta vez el Oracle Solaris. La vulnerabilidad CVE-2011-3508, le da un resultado de 9.3, siendo uno de los más altos presentados en las últimas liberaciones de CPU y conviertiéndose así, en una tarea obligatoria de realizar. El componente afectado es el LDAP. Igualmente, otros productos como Glassfish Communications Server, GlassFish Enterprise Server, Sun Java System Application Server, para el protocolo HTTP y los componentes de Web Container obtienen un valor de 7.8, para el reporte CVE-2011-3559.
Lo crítico de todo esto, es que la exposición puede ser utilizada o explotada de manera remota. sin autorización requerida.
Sun Ray, para el protocolo TCP/IP en su componente de autentificación, presenta la vulnerabilidad CVE-2011-3538, con una calificación de 6.8, pero también remotamente utilizable sin autorización requerida.
En detalle pueden ver el reporte en la siguiente dirección http://www.oracle.com/technetwork/topics/security/cpuoct2011-330135.html#AppendixDB
Así que amigos y amigas, a aplicar parches de seguridad, sobre todo a aquellos que tienen sistema operativo Solaris del 8 al 11 Express.