• Tweet

En la primera entrega de su ciclo de actualizaciones trimestrales, Oracle Corp. ayer liberó un conjunto de actualizaciones para solucionar 23 fallas, un número de ellas de alto riesgo, en sus productos de bases de datos. La compañía también recibió reconocimiento por una nueva matriz de riesgo informativa que es una nueva adición a sus boletines.

"El boletín es un documento comprensivo y contiene mucho mejor información que los boletines previos de Oracle", de acuerdo con lo declarado con el investigador de seguridad independiente Pete Finnigan. "La llave adicional en éste boletín es la nueva matriz de riesgos que detalla cada uno de los problemas, asignándoles un grado y también el riesgo". Cada falla es numerada, el componente es identificado y también son listados los privilegios necesarios para que la falla sea explotada.

"Espero que en particular la matriz de riesgos realmente ayudará a los usuarios a tomar decisiones sobre la aplicación de las actualizaciones de forma rápida y confidencial", de acuerdo a lo declarado por Finnigan.

Secunia reportó un total de 23 fallas en sus productos de Oracle que permiten la manipulación remota de datos, exposición de información sensitiva, elevación de privilegios y negación de servicio.

Finnigan fue nombrado como el descubridor de la falla de directorio transversal. "Un problema con el que se es capaz de utilizar objetos de directorios dentro de la base de datos".

Los objetos de directorio son utilizados en la base de datos de Oracle conteniendo la localización de un de sistema operativo específico, de acuerdo al boletín de Finnigan. Los objetos de directorio pueden ser accedidos en varias formas. Cualquier objeto de directorio existente que puede ser accedido presenta un riesgo potencial. Privilegios de lectura en un objeto de directorio son requeridos para explotar este problema.

Un número de fallas fueron anunciadas por NGSS (Next Generation Security Software). La compañía con base en Surrey, U.K. dijo que todas las versiones de Oracle Database 10g y Oracle 9i Database Server son vulnerables a las fallas descubiertas, que incluyen una vulnerabilidad de buffer overflow y vulnerabilidades del tipo PL/SQL injection que permiten que usuarios normales obtengan privilegios de DBA. Las fallas más recientes pueden ser explotadas a través del Web mediante Oracle Application Server de acuerdo con NGSS.

Más detalles sobre las fallas aún no son revelados. NGSS dijo que retendrá la información sobre las fallas hasta el 18 de abril, permitiendo que los usuarios de Oracle tengan tres meses para probar y aplicar las actualizaciones.

Otras fallas fueron reportadas a Oracle por Alex Kornbrust de Red Database Security y por Stephen Kost.

"Esta Actualización Crítica es una actualización acumulativa conteniendo soluciones para múltiples vulnerabilidades de seguridad", de acuerdo al boletín de Oracle. "Además, también contiene soluciones no relacionadas con seguridad que son requeridas [debido a las interdependencias] por estas soluciones de seguridad".

Los productos incluyen Oracle Database 10g Release 1, Oracle9i Database Server Release 1 y Release 2, Oracle8i Database Server Release 3, Oracle8 Database Release 8.0.6, Oracle Application Server 10g, Oracle Application Server 10g Release 2, Oracle9i Application Server Release 1 y Release 2, Oracle Collaboration Suite Release 2, y Oracle E-Business Suite and Applications Release 11i y Release 11.0.

Oracle ha liberado una actualización para solucionar estas vulnerabilidades. NGSS dijo que los administradores de base de datos de Oracle deben descargar, probar e instalar la actualización tan pronto como sea posible.