Bueno como es tradición, ha sido liberado durante el día de hoy, la segunda revisión de seguridad de este 2013, conocida como CPU, para toda la línea de productos del portafolio de Oracle.
Destacan en esta revisión, según un análisis de la matrix, varios componentes de distintas familias con un "Base Score" de 10 y con capacidad de vulnerar de manera remota el componente, sin necesidad de validación.
En base de datos, nuevamente el vector de ataque es la "Red". Con la indentificación CVE-2013-1534, el Workload Manager, tiene un puntaje de 10 con afectación en las ediciones 11gR2, tanto Patch Set 1 y 2 ( 11.2.0.2 y 11.2.0.3 )
El componente Application Express, según el id de CVE-2013-1519, en todos los releases previos a 4.2.1 son afectados. Tanto el Workload Manager como el Application Express, según la matrix de riesgo, el nivel de complejidad es bajo, o bien, si lo quieren ver de otra manera, fácil de ser vulnerado.
El Oracle Jrockit, también es afectado con este CPU del mes de abril, con el puntaje máximo perfecto en la escala de riesgo, también con problemas en el vector de acceso a la red, y con registro en el id CVE-2013-2380.
No sólo este producto de capa intermedia aparece en la matrix de riesgo. También lo hacen, el Oracle HttP Server, en el subcomponente de WebListener, con valorización de 7.8 a 4.3, el Oracle Webcenter Content y el Weblogic Server con un nivel de afectación menor.
El resto de productos listados en el informe, tienen un nivel de afectación no mayor a 6.9 con afectación centralizada en el vector de red.
Productos como MySQL Server, versión 5.6.10 también aparecen en la lista negra.
El detalle de cada afectación, así com ID de CVE los pueden ver en el siguiente link: http://www.oracle.com/technetwork/topics/security/cpuapr2013-1899555.html#AppendixDB
No hay comentarios:
Publicar un comentario
Te agradezco tus comentarios. Te esperamos de vuelta.