Oracle parchea más de 200 vulnerabilidades explotables remotamente !

Oracle lanzó esta semana su conjunto de parches de julio de 2018 para abordar un total de 334 vulnerabilidades de seguridad, la mayor cantidad de fallas resueltas con una actualización crítica de parches (CPU) hasta la fecha. Más de 200 de los errores pueden ser explotables remotamente sin autenticación.

Este mes, se parchearon 23 productos, incluidos E-Business Suite, Financial Services Applications, Fusion Middleware, Hospitality Applications, Java SE, MySQL, PeopleSoft Products, Retail Applications, Siebel CRM y Sun Systems Products Suite.

Según el aviso de Oracle, Más de 50 de los errores abordados este mes tuvieron un puntaje básico de CVSS 3.0 de 9.8. En general, 61 errores de seguridad tenían un puntaje CVSS de 9.0 o superior.

Se aplicaron parches a un total de 203 vulnerabilidades en aplicaciones críticas para el negocio, de las cuales aproximadamente el 65% podrían explotarse remotamente sin necesidad de ingresar credenciales, señala ERPScan, una compañía especializada en asegurar aplicaciones Oracle y SAP.

  • Este mes, las aplicaciones de servicios financieros recibieron la mayor cantidad de soluciones, 56, de las cuales 21 pueden ser explotables remotamente sin autenticación.
  • Fusion Middleware recibió el segundo mayor número de parches, en 44, con 38 de los problemas abordados remotamente explotables sin autenticación.
  • El siguiente en la lista son las aplicaciones para minoristas en 31 soluciones (26 fallas que se pueden explotar remotamente) y MySQL, también con 31 parches (solo 7 errores remotamente explotables), seguido de aplicaciones de hospitalidad con 24 soluciones (7 problemas remotamente explotables), Sun Systems Products Suite en 22 parches (10 defectos remotamente explotables) y Enterprise Manager Products Suite con 16 arreglos (todos explotables remotamente sin autenticación).
  • Además, los productos PeopleSoft (15 errores – 11 explotables remotamente sin autenticación), E-Business Suite (14 defectos – 13 explotables remotamente), Aplicaciones de comunicaciones (14 – 10), Virtualización (12 – 2), Conjunto de construcción e ingeniería (11 – 6), JD Edwards Products (10 – 9), Java SE (8 – 8) y Supply Chain Products Suite (8 – 6).
  • Hubo una tendencia a la baja de los parches Java SE que puede considerarse positiva. Sin embargo, es probable que varias acciones tomadas para arreglar las vulnerabilidades de Java SE en la CPU de julio rompan la funcionalidad de ciertas aplicaciones. Por ejemplo, la solución para la vulnerabilidad Java SE más crítica en la CPU de julio (CVE-2018-2938) elimina el componente vulnerable (Java DB) del JDK y, los usuarios que dependen de este componente deben obtener manualmente los últimos artefactos de Apache Derby y reconstruir sus aplicaciones.

Algunos de los problemas más importantes abordados este mes podrían explotarse remotamente para hacerse cargo de la aplicación afectada: CVE-2017-15095 en Oracle Spatial, CVE-2018-7489 en el componente OPatchAuto de Global Lifecycle Management, CVE-2018-2943 en MapViewer de Fusion Middleware , CVE-2018-2894 en WebLogic Server y CVE-2017-5645 en PeopleSoft Enterprise FIN Install.

A fines de junio, Oracle también anunció la disponibilidad de parches para nuevas variantes de los métodos de ataque de ejecución especulativa conocidos como Meltdown y Spectre. La compañía lanzó el primer conjunto de mitigaciones contra Spectre y Meltdown como parte de la CPU de enero de 2018.

Se aconseja a todos los clientes que apliquen las correcciones incluidas en las actualizaciones de parches críticos de Oracle sin demora, ya que algunas de las vulnerabilidades están siendo utilizadas por actores maliciosos-

_______________________________________________________________________
Tomado de: https://blog.segu-info.com.ar/2018/07/oracle-parchea-mas-de-200.html
Se Respetan Derechos de Autor.