Oracle corrige 167 vulnerabilidades com a Atualização crítica de patches

A atualização de segurança crítica da Oracle para janeiro de 2015 concentra-se em reparar um total de 167 vulnerabilidades encontradas em 48 de seus produtos.

Oráculo

Os patches foram lançados na terça-feira e o mais sério dos problemas recebeu a maior pontuação de risco, de acordo com a segunda versão do Common Vulnerability Scoring System (CVSS).

O especialista em segurança de banco de dados David Litchfield diz que 11 dos erros corrigidos nesta atualização de segurança foram identificados e relatados por ele, e um deles se destaca em termos de risco.

Em um tweet na segunda-feira, ele disse que o erro foi detectado durante a verificação dos sistemas de um cliente. Inicialmente, ele acreditava que houve um ataque e que o invasor havia instalado um backdoor.

Em uma inspeção mais detalhada, Litchfield descobriu que o backdoor veio da Oracle e fazia parte da instalação inicial do eBusiness Suite. Em particular, fornecia privilégios de administrador para usuários comuns, o que significa que qualquer usuário com conhecimento suficiente poderia obter acesso aos bancos de dados.

Segundo a empresa, um dos produtos afetados por uma vulnerabilidade tão séria é o Java Standard Edition (SE).

No total, o programa receberá 19 reparos, sendo 14 deles de particular importância, pois reparam vulnerabilidades que envolvem o risco de exploração remota.

O desenvolvedor afirma que essas vulnerabilidades permitiriam que um invasor as explorasse sem ter um nome de usuário e senha.

Outros componentes Java incluídos na lista de atualização são o Java SE Embedded e o JRockit.

O produto que recebeu mais atenção é o Oracle Fusion Middleware, para o qual estão sendo lançadas 35 novas atualizações de segurança, com a maioria delas (28) reparando vulnerabilidades de exploração a longa distância sem exigir uma verificação de identidade do possível invasor.

19 componentes do produto são afetados por mau funcionamento, incluindo Oracle Forms, Oracle HTTP Server, Oracle OpenSSO e Oracle Security Service. A pontuação base CVSS mais alta que afeta esses dados é 9,3.

O próximo na fila é o Oracle Sun Systems Products Suite, que recebe 29 atualizações de segurança para componentes como os servidores Fujitsu M10-1, M10-4S, M9000, Solaris, Solaris Cluster e SPARC Enterprise M3000.

Dez das vulnerabilidades permitem operação remota sem autenticação. O problema de segurança mais importante recebeu a pontuação máxima de 10.

A empresa aconselha os usuários a instalar as atualizações o mais rápido possível para evitar o risco de ataque.

A atualização crítica de segurança (Atualização crítica de patch) é lançada pela Oracle trimestralmente. Este ano está programado para 20 de janeiro, 14 de abril, 14 de julho e 20 de outubro.