Oracledbacr, por simple pasión ...-Copyleft Miembro Comunidad Tecnológica de Oracle Latinoamérica: mayo 2026

miércoles, 6 de mayo de 2026

Comunicado: 4 de mayo de 2026 Actualizaciones mensuales de parches de seguridad críticos (CSPU) de Oracle a partir del 28 de mayo de 2026

Oracle presenta una nueva periodicidad de lanzamiento mensual para ayudar a los clientes a abordar las vulnerabilidades de seguridad críticas con mayor rapidez y reducir el riesgo de exposición.

Oracle ha enviado el siguiente correo a todos sus clientes:

A partir del 28 de mayo de 2026, Oracle publicará una Actualización de parches de seguridad críticos (CSPU) cada mes. Las CSPU están diseñadas para proporcionar correcciones de seguridad específicas y de alta prioridad en un formato más conciso y específico, lo que facilita su aplicación con mínimas interrupciones.

Estimado cliente de Oracle:

-21 de julio de 2026 (CPU)Tras el lanzamiento inicial de mayo, las CSPU se publicarán mensualmente de forma continua, coincidiendo con el tercer martes de cada mes, de acuerdo con el modelo de lanzamiento de seguridad establecido por Oracle.

Este nuevo enfoque complementa las Actualizaciones trimestrales de parches críticos (CPU) de Oracle, que continuarán publicándose de forma acumulativa. Las actualizaciones de seguridad de Oracle (CSPU) permiten a los clientes implementar correcciones específicas para vulnerabilidades críticas con mayor rapidez, sin tener que esperar al siguiente ciclo trimestral.

Las próximas cuatro fechas de lanzamiento de actualizaciones de seguridad son:

28 de mayo de 2026 (CSPU)
16 de junio de 2026 (CSPU)
18 de agosto de 2026 (CSPU)

¿Qué significa esto para usted? • Acceso más rápido a correcciones de seguridad críticas • Actualizaciones más pequeñas y específicas • Menor riesgo y aplicación de parches simplificada para entornos gestionados por el cliente

Oracle mantiene su compromiso de ayudar a los clientes a mantener una sólida postura de seguridad mediante la entrega oportuna de actualizaciones de seguridad de alta calidad.

Así termina el correo, pero que no se dice en el correo.?

Es casi un 100% seguro, que para poder instalar estos CSPU's, vas a tener que contar con una versión de R.U. reciente. Al menos con el actuar de Oracle en los últimos años, sería al último CPU y eso si nos pone contra la pared tanto frente a la certificación de aplicaciones propias de Oracle, como de terceros, sin dejar de lado, el riesgo que implica hacer una instalación de CPU hoy en día, apenas esté es liberado.

Para muestra un botón con lo sucedido este trimestre. También estamos con un cambio en la aplicación de los CPUs, que voy a explicar en otro posteo, pero como dicen en el beisbol, "Dígale Adiós al OPatch".

MOS aplica requisito de contraseñas para realizar descargar de R.U. a nivel de la base de datos.

Dando seguimiento al tema de los cambios realizados de manera progresiva en el MOS, toca ahora, hablar de la necesidad de crear un SR, para obtener una contraseña para la descarga de los R.U. anteriores al último liberado.

Observé algunas publicaciones que son los R.U. a partir del 19.29 y verifiqué dicha información y es 100% correcta. Ya para este parche requiere la contraseña.

Antes de poder crear el SR, debes pasar un asistente de IA que tiene un coeficiente intelectual de un "lagarto cornudo" - si tienes dudas pregunta a tu IA de preferencia cuál es-, que al preguntarle que necesitas una contraseña para descargar un parche que esta protegido con contraseña, te indica que revise antes la información del README.txt, ya que no existe indicaciones de que se requiera una contraseña para descargarlo. Lógico, porque el parche fue liberado antes de la implementación y quién entreno el modelo, no sabía ese pequeño detalle.

Ahora, realmente están poniendo a pruebas nuestra paciencia.!!!

Una vez que realizas unas 5 interacciones con el asistente, el mismo se cansa y te recomienda crear un SR y te brinda la oportunidad de iniciar el flujo.

Nota curiosa, el documento de SLAs para los SR, ya no esta disponible publicamente, por lo que creo esta siendo modificada y adaptánse también para estos cambios.

Esto al menos me pareció un poco más inteligente y las primeras 3 preguntas de las 12 que realiza, las autorellena con la información que le brindaste al asistente. Luego te hace tantas preguntas, que desde mi experiencia con las versiones anteriores y para lo que se necesita concretamente en este caso, son bastante inútiles. Incluso debes agregar el OCID del ambiente en donde deseas aplicar el parche.

Con este asistente, no te permite asignar el nivel del tiquete, por lo que pienso, que le asigna un nivel 4, o sea, baja nivel de criticidad. 

La notificación de la creación del SR si llegó al correo, pero aquí viene la otra parte.  La creación de SR previo a este fin de semana anterior, se gestionaban por 4 niveles de criticidad. Yo podía configurar el nivel en el rango de 2 a 4. Ya para un SR nivel 1, había que escalarlo o bien escoger que era un ambiente productivo, con afectación total de los servicios.

Yo he llegado a experimentar hasta 7 días de atraso antes de obtener una respuesta. Así que la experiencia de usuario en MOS, es cada vez más difícil de defender. Hoy MOS es más burocrático y enredado de utilizar, y sinceramente, añoro la interfaz clásica que nos acompañó durante tantos años. Al finalizar de escribir esta nota, han pasado 45 minutos desde la creación del SR y aún no existe actividad alguna por parte del equipo del MOS.

Les prometo pasar el chisme de cuánto se duró, para obtener una respuesta.

Oracle hace un cambio de paradigma- con respecto al manejo de la seguridad, introduciendo la IA aplicada a ciberseguridad.

Oracle hace un cambio importante -comercialmente hablando sería algo así como un cambio de paradigma- con respecto al manejo de la seguridad, introduciendo -como es la moda actual- la IA aplicada a ciberseguridad.

Oracle crea los "Parches de actualización de seguridad crítica" CSPU periódicamente liberados mensualmente.

Diferencias entre los CPU y los CSPU.

Frecuencia: Las CPU son trimestrales (enero, abril, julio, octubre), mientras que las CSPU se publican los meses restantes.
Contenido: Las CSPU contienen arreglos específicos para fallos de severidad crítica; las CPU trimestrales son acumulativas e incluyen todos los parches anteriores.
Aplicación: En servicios de nube gestionados por Oracle, estas actualizaciones se aplican de forma automática y continua. En entornos locales (on-premises), el cliente es responsable de su instalación.

Con la introducción de los CSPU, Oracle cambia su modelo tradicional de seguridad, pasando de ser reactivo (parches después de encontrado un problema) a uno model proactivo (detención anticipada con IA).

Para poder aplicar este nuevo modelo, Oracle ha tomado la decisión de utilizar LLM para análisis de código, buscando reducir el tiempo de exposición, integrando explícitamente, modelos de OpenAI y Claude de Anthropic, creando un enfoque multi-model de seguridad con IA, introduciendo capacidades de: razonamiento de código, detección de patrones e inferencia de vulnerabilidades, que corresponde al proceso de deducir, predecir o identificar debilidades de seguridad en un sistema, red o aplicación basándose en información indirecta, comportamientos observados o el análisis de características conocidas, en lugar de depender únicamente de escaneos automáticos de vulnerabilidades conocidas (CVEs).

Es necesario este cambio.? La respuesta corta y clara es si. La IA también ha servido para generar exploits más rápidamente, además de automatizar la ingeniería social y hacer un escaneo más inteligente de la superficie de ataque, exponenciando el AI-driven cyber warfare (carrera armamentista tecnológica).

Si antes los equipos de ataque estaban en relación de centenas o miles a 1, ahora esta relación se ha incrementado aún más. Antes la capacidad de respuesta estaba limitado por la cantidad de recursos humanos disponibles ahora la limitación con este nuevo enfoque, es de capacidad de cómputo. Nos guste o no, la IA elimina el "tiempo humano" como cuello de botella en los sistemas, pero cuidado, recordemos que aún estamos usando pañales y en ocasiones un pañal mal puesto, puede provocar una cascada de caca.

Si quieren leer el comunicado oficial, lo pueden hacer en el link:https://lnkd.in/eVtThx4H

¿Es usted un "Chef" de datos? 👨‍💻

By Javier de la Torre Medina: Ayer me estaba divirtiendo con DALL-E. Quería saber qué piensa la IA sobre la base de datos autónoma de Oracle y cómo podría ser una representación gráfica. ¡Me gustó mucho la descripción y quería compartirla con todos ustedes! Si consideramos que cada uno de los tipos de datos disponibles es un ingrediente diferente, Oracle Autónoma Database sería un Chef. Como tenemos todos los "ingredientes", siempre tendremos clientes contentos porque siempre encontrarás tu receta favorita.