miércoles, 14 de enero de 2009

Coinciden los ciclos de actualización de Cisco, Microsoft y Oracle

En 48 horas han coincidido los ciclos de actualización de seguridad de tres grandes compañías: Cisco (el miércoles 14 de enero) y Microsoft y Oracle (el martes anterior), circunstancia que no se había dado hasta el momento y que sin duda ha mantenido ocupados a una buena cantidad de administradores de sistemas.

Parece improbable que un administrador de grandes sistemas no posea un producto de alguna de estas tres marcas. Entre el martes y el miércoles les han llovido los parches para todos los productos de forma casi simultánea. Deben haber estado bastante ocupados. Si no es así, están expuestos con total seguridad a alguna vulnerabilidad.

Microsoft publica sus parches de seguridad los segundos martes de cada mes, quizás sea el ciclo más reconocido. Este último martes publicó un solo boletín que solucionaba tres fallos de seguridad.

Oracle se unió hace años a las actualizaciones programadas. Publica sus parches cada tres meses. El martes que esté más cerca del día 15 del mes de enero, abril, julio y octubre. En este caso ha corregido 41 problemas de seguridad en sus numerosos productos.

No es habitual que coincidan Microsoft y Oracle (rara vez el segundo martes de cada mes se acerca al día 15) pero alguna vez se ha dado la ocasión.

Cisco declaró hace ya casi un año que también publicaría sus parches de seguridad cada seis meses, en el cuarto miércoles de marzo y el cuarto miércoles de septiembre. Por tanto, menos de 24 horas después de que Oracle y Microsoft publicaran parches, Cisco anunció otras cinco vulnerabilidades en sus productos.

No debe extrañar que las marcas elijan un día como el martes para decidir publicar sus actualizaciones. Parchear es siempre en cierto modo arriesgado. En redes grandes o críticas necesita cierto planteamiento previo (de ahí que no se utilice el lunes) y mucho seguimiento (por eso se huye de los viernes, jueves...). Microsoft fue la primera compañía grande en adoptar esta técnica así que eligió el mejor día de la semana posible, el martes. Oracle, segunda en programar sus macro parches, también se quedó con este día. Cisco, última en llegar, decidió usar los miércoles (probablemente para no coincidir con las otras dos). En cualquier caso, todos los meses de marzo de todos los años, en un periodo de 24 horas en el peor de los casos y de pocos días en el mejor, las tres coincidirán por necesidad.

Así que los administradores de sistemas (los que se preocupen por la seguridad) tienen ahora un buen trabajo por delante, en el que deben parchear, comprobar, revisar, actualizar... productos y dispositivos críticos en sus redes.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Cisco:
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a5c4f7.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20090114-ons.shtml
http://www.cisco.com/en/US/products/products_security_response09186a0080a5c501.html

Oracle:
http://www.oracle.com/technology/deploy/security/alerts.htm

Vulnerabilidades en SMB podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-001.mspx

No hay comentarios:

Publicar un comentario en la entrada