El gigante de software empresarial Oracle ha lanzado su aviso de actualización de parche crítico (CPU) de abril, que incluye 520 correcciones para fallas de seguridad.
Las actualizaciones de parches críticos son colecciones de parches de seguridad para los productos de Oracle, que se publican trimestralmente. Esta actualización soluciona fallas de seguridad en docenas de productos con tres errores que obtienen una calificación de gravedad de 10 de 10 posibles y alrededor de 70 con una puntuación de 9.8.
Oracle señala que los clientes deben actualizar su software tan pronto como puedan, ya que continúa recibiendo informes periódicamente sobre intentos de explotar vulnerabilidades malintencionadas para las que Oracle ya ha lanzado parches de seguridad: «En algunos casos, se ha informado que los atacantes han tenido éxito. porque los clientes objetivo no aplicaron los parches de Oracle disponibles. Por lo tanto, Oracle recomienda encarecidamente que los clientes permanezcan en las versiones con soporte activo y apliquen los parches de seguridad Critical Patch Update sin demora».
VER: Google: Estamos detectando más errores de día cero que nunca. Pero los hackers todavía lo tienen demasiado fácil.
Oracle Communications Cloud Native Core Network Exposure Function tiene dos errores con una puntuación de 10, ambos rastreados como CVE-2022-22947, y 31 errores con una puntuación de 9,8, mientras que Oracle Communications Billing and Revenue Management se ve afectado por una falla con una puntuación de 10, CVE-2022-21431.
Eric Maurice, vicepresidente de garantía de seguridad de Oracle, dice que las actualizaciones son para una «amplia gama de familias de productos», desde su servidor de base de datos hasta la plataforma blockchain y Oracle Virtualization.
Maurice señaló un pequeño ajuste en el cronograma de lanzamiento de la CPU de Oracle a partir de este momento.
«Con este lanzamiento de Critical Patch Update, Oracle está haciendo un pequeño ajuste en el calendario de lanzamiento de Critical Patch Update. Las actualizaciones de Critical Patch ya no se lanzarán el martes más cercano al 17 del mes de enero, abril, julio y octubre. pero se lanzarán el tercer martes de enero, abril, julio y octubre», dice en una publicación de blog.
«Este ajuste menor no afectará la frecuencia de los lanzamientos de actualizaciones de parches críticos (todavía 4 veces al año), pero esencialmente hace que sea más fácil configurar recordatorios de calendario y determinar la fecha de futuros lanzamientos de actualizaciones de parches críticos».
De los 520 parches, los productos de Oracle Communications recibieron 149, 98 de los cuales «pueden explotarse de forma remota sin autenticación».
Las aplicaciones de Oracle Financial Services recibieron 41 parches, con 19 posiblemente explotables de forma remota sin autenticación.
Oracle Fusion Middleware obtuvo 54 parches y 41 de ellos pueden explotarse de forma remota sin autenticación. Unas 13 vulnerabilidades tienen una puntuación de gravedad de 9,8 y afectan a productos como Oracle Business Intelligence Enterprise Edition, Oracle Business Process Management Suite, Oracle Coherence, Oracle HTTP Server y más.
VER: Seguridad de Windows 11: cómo proteger las PC de su hogar y de su pequeña empresa
El otro gran receptor de parches fue Oracle MySQL, que recibió 43 parches, de los cuales 11 pueden explotarse de forma remota sin autenticación.
Las aplicaciones de Oracle Retail obtuvieron 30 parches, 15 de los cuales pueden explotarse de forma remota sin autenticación. Oracle Retail Xstore Point of Service se vio afectado por un error de gravedad 9.8 rastreado como CVE-2022-22965.
La plataforma Oracle Blockchain recibió 15 parches, 14 de ellos pueden explotarse de forma remota sin autenticación. Tiene un error con un puntaje de gravedad de 9.8 que afecta su backend nginx.
Los administradores de Oracle E-Business Suite Cloud Manager y Cloud Backup Module también deben corregir un error con una puntuación de 9,8, que afecta al componente Log4j afectado por el error Log4Shell.
