Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su actualización correspondiente al mes de abril. Contiene parches para 299 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.
Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. Se concreta en las siguientes familias:
- Oracle Database Server
- Oracle Secure Backup
- Oracle Berkeley DB
- Oracle Fusion Middleware
- Oracle Hyperion
- Oracle Enterprise Manager Grid Control
- Oracle E-Business Suite
- Oracle Supply Chain Products Suite
- Oracle PeopleSoft Products
- Oracle JD Edwards Products
- Oracle Siebel CRM
- Oracle Commerce
- Oracle Communications Applications
- Oracle Financial Services Applications
- Oracle Health Sciences Applications
- Oracle Hospitality Applications
- Oracle Insurance Applications
- Oracle Retail Applications
- Oracle Utilities Applications
- Oracle Primavera Products Suite
- Oracle Java SE
- Oracle Sun Systems Products Suite
- Oracle Virtualization
- Oracle MySQL
- Oracle Support Tools
A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:
- Dos nuevas vulnerabilidades corregidas en Oracle Database Servery otra en Oracle Secure Backup (explotable remotamente sin autenticación).
- Para la suite de productos Oracle Sun Systems se incluyen 21 nuevas actualizaciones, 10 de ellas afectan directamente a Solaris.
- 39 nuevas vulnerabilidades afectan a MySQL Server (11 de ellas podrían ser explotadas por un atacante remoto sin autenticar).
- 14 nuevos parches para Oracle Berkeley DB (ninguna de estas vulnerabilidades es exploitable remotamente sin autenticación).
- Otras 31 vulnerabilidades afectan a Oracle Fusion Middleware. 20 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle API Gateway, Oracle Fusion Middleware MapViewer, Oracle GlassFish Server, Oracle Identity Manager, Oracle Service Bus, Oracle Social Network, Oracle WebCenter Content, Oracle WebCenter Sites y Oracle WebLogic Server.
- Esta actualización contiene dos nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, ambas explotables remotamente sin autenticación.
- Dentro de Oracle Applications, 11 parches son para Oracle E-Business Suite, uno es para la suite de productos Oracle Supply Chain, 16 para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards, uno para Oracle Siebel CRM y tres para Oracle Commerce.
- Se incluyen también 11 nuevos parches para Oracle Communications Applications, nueve de ellos tratan vulnerabilidades explotables remotamente sin autenticación. También se solucionan 47 nuevas vulnerabilidades en Oracle Financial Services Applications (25 explotables remotamente).
- Una vulnerabilidad exploitable remotamente sin autenticación en Oracle Health Sciences Applications y otras seis en Oracle Hospitality Applications (solo una exploitable remotamente).
- Una actualización para Oracle Insurance Applications y 39 para Oracle Retail Applications, 32 de ellas explotables remotamente sin autenticación.
- También se incluyen siete nuevos parches de seguridad para Oracle Utilities Applications (todas explotables remotamente sin autenticación) y siete para la suite de productos Oracle Primavera, cuatro de ellas podrían explotarse de forma remota sin autenticación.
- En lo referente a Oracle Java SE se incluyen ocho nuevos parches de seguridad, siete de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
- Esta actualización también contiene 15 parches para Oracle Virtualización, 13 para Oracle Support Tools y uno para Oracle Hyperion.
Se recomienda comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, disponibles desde la notificación oficial en:
Oracle Critical Patch Update Advisory – April 2017
Más información:
Oracle Critical Patch Update Advisory – April 2017
Antonio Ropero
Twitter: @aropero
Deja un comentario