Oracle lanza 136 parches de seguridad para una amplia gama de productos
La compañía ha adoptado el nuevo sistema de clasificación de vulnerabilidad CVSS 3.0, lo que supone un mayor número de errores clasificados como graves y críticos
Oracle ha lanzado una nueva actualización de seguridad trimestral que contiene 136 correcciones de errores en una gran variedad de productos incluyendo Oracle Database Server, E-Bussiness Suite, Fusion Middleware, Oracle Sun Products, Java y MySQL. El mayor cambio es la adopción por parte de Oracle de Common Vulnerability Scoring System (CVSS) en su versión 3.0, que refleja con mayor precisión que la versión CVSS 2.0 el impacto de los errores. Esta actualización utiliza las calificaciones de vulnerabilidades tanto de la versión 3.0 como de la 2.0, proporcionando la posibilidad de compara cómo la nueva calificación podría afectar a la priorización de los parches de Oracle en las empresas. Uno de los cambios más importantes es que hay cinco vulnerabilidades que tienen la máxima puntuación, un 10 basándose en la escala de la versión CVSS 2.0, pero ninguna utilizando la calificación de la versión CVSS 3.0.
Aunque no hay errores con una puntuación de 10, el número de errores en una CPU considerada crítico basándose en la puntuación de CVSS 3.0 es 17, en comparación a las 9 de la versión CVSS 2.0. Lo mismo sucede con los errores marcados como de alta gravedad, que serían 25 según la versión CVSS 3.0 y tan sólo 12 utilizando la CVSS 2.0. El número de errores de baja gravedad también descendió de las 28 de la versión CVSS 2.0 a tan sólo 10 con la CVSS 3.0. Estos datos demuestran que, en general, la versión CVSS 3.0 aumenta la severidad del nivel de gravedad de las vulnerabilidades en comparación a la CVSS 2.0. “En primer lugar, me alegra ver estos cambios en el sistema de puntuación, ya que existían muchas discusiones acerca de la calidad de la versión 2.0 de CVSS”, explicó Alexander Polyakov, CTO de ERPScan, firma especializada en inteligencia de vulnerabilidades. “Por ejemplo, los proveedores podían calificar los problemas detectados en sus productos como de gravedad menor (intencionadamente o no), por errores en el sistema de puntuación. Ahora con la reciente actualización el sistema es más preciso y se han resuelto muchos inconvenientes que afectaban a la versión anterior”.
Los productos de Oracle que tienen vulnerabilidades puntuadas como altas (con puntuaciones entre el 7 y el 8 según la escala del CVSS3) y críticas ( entre 9 y 10) son: Oracle Database Server, Oracle Fusion Middleware, Oracle Enterprise Manager Grid Control, Oracle E-Business Suite, Oracle Supply Chain Products Suite, Oracle PeopleSoft Products, Oracle Financial Services Software, Oracle Java SE, Oracle Sun Systems Products, Oracle Virtualization, Oracle MySQL y Oracle Berkeley DB.
