• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Oracle sigue el modelo Microsoft y notifica con antelación sus parches

Oracle sigue el modelo Microsoft y notifica con antelación sus parches

12 enero, 2007 Por Hispasec Deja un comentario

Oracle ha anunciado por primera vez con antelación, lo que será su
publicación trimestral de parches de seguridad. Un resumen previo al
estilo Microsoft que adelanta el número y la criticidad de las
actualizaciones previstas para el próximo día 16 de enero.

Oracle publicará un total de 52 parches de seguridad (menos de los que
vienen siendo habituales) para Oracle Database, Application Server,
Enterprise Manager, Identity Management, E-Business Suite, Developer
Suite y PeopleSoft Enterprise People Tools. Diez de los 27 dedicados a
su base de datos, podrán ser aprovechados por atacantes a través de la
red sin necesidad de usuario ni contraseña válidos.

Con esta nueva estrategia de anuncio previo de boletín de seguridad,
Oracle pretende facilitar a los administradores de sus productos la
planificación de aplicación de parches. A nadie se le escapa la analogía
con la estrategia de Microsoft. Ya en agosto de 2004 (sólo 10 meses
después de que lo hiciera Microsoft) reorganizó su publicación de
parches de forma mensual, para modificarla poco después a una
planificación trimestral, tal y como se mantiene hoy día.

En octubre de 2004, Microsoft decidió además advertir algunos días antes
de la publicación del número de parches planeados, gravedad y productos
afectados. Poco más de dos años después Oracle le copia, por segunda
vez, la estrategia, aunque ha ido un poco más lejos y en su avance.
Oracle ofrecerá además «cualquier información relevante que ayude a las
organizaciones a planificar la aplicación del CPU (Critical Patch
Update) en su entorno».

Este nuevo cambio en la estrategia de seguridad de Oracle viene a
confirmar una clara tendencia de la compañía por mejorar su imagen en
este sentido. En octubre de 2006 anunció que mejoraría su sistema de
notificación de alertas de seguridad, añadiendo desde entonces un rango
de criticidad a sus boletines, un sumario más detallado sobre las
vulnerabilidades corregidas y una sección destacada de los fallos
críticos y prioritarios…. Además, se ayuda de CVSS (Common
Vulnerability Scoring System), un estándar que gradúa la severidad de
manera estricta a través de fórmulas establecidas.

Estos movimientos se han producido tras un largo periodo en el que
Oracle ha sido criticada hasta la saciedad por su estrategia general de
seguridad desde aquel fallido lema de «unbreakable» (irrompible). En los
últimos meses, publicaciones como la de David Litchfield que afirmaba
que MS SQL era mucho más seguro, unido a los continuos problemas de
seguridad, con largos periodos (mínimo trimestral y con un récord de 800
días) en los que no se ha proporcionado un parche para algún error, el
anuncio frustrado de la creación de la semana de los fallos en Oracle…
han ido deteriorando la imagen de la compañía de las bases de datos.

Está claro que esta nueva estrategia de Oracle está orientada a
restaurar la confianza de posibles clientes y ayudará a los
administradores. Lo que no estará tan claro para muchos es que se tome
como modelo parte de la política de Microsoft. La imagen de la
referencia que han decidido adoptar se encuentra también deteriorada en
cuestión de seguridad.

Sergio de los Santos
ssantos@hispasec.com

Más información:

Critical Patch Update Pre-Release Announcement
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html

Litchfield: Comparado con Oracle, Microsoft SQL Server es más seguro
http://www.hispasec.com/unaaldia/2951

Oracle ofrecerá más y mejor información en sus boletines de seguridad
http://www.hispasec.com/unaaldia/2915

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • ¿Qué es DMARC? La necesidad de la protección del correo electrónico

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR