Oracle publica 342 parches de seguridad

Oracle anunció el martes la disponibilidad de un total de 342 nuevos parches de seguridad como parte de su Actualización de parches críticos (CPU) de julio de 2021. Más de la mitad de las vulnerabilidades abordadas podrían explotarse de forma remota sin autenticación.

De todas las vulnerabilidades, aproximadamente 50 se consideran de gravedad crítica, y una de ellas presenta una puntuación CVSS de 10, revela Oracle en su aviso.

El más grave de estos problemas es CVE-2021-2244, un error de seguridad en el producto Essbase Analytic Provider Services de Oracle Essbase (JAPI) que podría explotarse de forma remota sin autenticación, y que podría conducir al control completo del producto afectado.

“La vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa los servicios de proveedores analíticos de Essbase. Si bien la vulnerabilidad está en los servicios de proveedores de análisis de Essbase, los ataques pueden afectar significativamente a productos adicionales”, explica Oracle.

Fusion Middleware recibió la mayor cantidad de parches en este conjunto trimestral de actualizaciones, para abordar un total de 48 vulnerabilidades, incluidas 35 que podrían ser explotadas por atacantes remotos no autenticados. De estos, 9 son errores de gravedad crítica, con puntuaciones CVSS de 9,8 y 9,9.

Otros software de Oracle que cuenta con una gran cantidad de parches de vulnerabilidades son:

  • MySQL (41 problemas resueltos, 10 de ellos explotables de forma remota sin autenticación)
  • Aplicaciones de comunicaciones (33 errores – 22 explotables de forma remota)
  • Comunicaciones (26 – 23)
  • Aplicaciones minoristas (23 – 15)
  • Aplicaciones de servicios financieros (22 – 17)
  • Suite E-Business (17 – 3)
  • Servidor de base de datos (16 – 1)

Otras aplicaciones de Oracle que han recibido parches este mes incluyen PeopleSoft, Systems Risk, Commerce, Construction and Engineering, Essbase, JD Edwards, Enterprise Manager, Java SE, Hyperion y Virtualization, entre otras.

Según Oracle, las soluciones alternativas disponibles incluyen el bloqueo de protocolos de red que los atacantes pueden aprovechar. En algunos casos, eliminar los privilegios necesarios para que un ataque tenga éxito también debería mitigar los riesgos.

Sin embargo, en general, Oracle insta a los clientes a que apliquen los parches disponibles lo antes posible, ya que esto reduciría significativamente la amenaza que representan los ataques exitosos.

El gigante tecnológico también señala que recibe periódicamente informes de ataques maliciosos a vulnerabilidades para las que se lanzaron parches de seguridad en el pasado, pero que los clientes siguen sin parchear.