Na terça-feira, 17 de outubro, a Oracle emitiu um aviso de segurança com 252 correções (CPU – Critical Patch Update) em seus produtos. Oracle Fusion Middleware, Oracle Hospitality, Oracle MySQL e PeopleSoft receberam a maioria dos updates desse pacote. “Os mapeamentos críticos de atualização de patch geralmente são cumulativos, mas cada aviso descreve apenas as correções de segurança adicionadas desde o aviso de CPU anterior. Assim, os avisos prévios devem ser revisados para obter informações sobre correções de segurança publicadas anteriormente”, descreve o comunicado oficial. A página para essas informações está neste link.
A atualização é necessária para os clientes da Oracle, já que podem afetar diversas aplicações críticas ao negócio, como o Oracle E-Business Suite. Bugs de injeção de SQL, divulgação de informações, falhas de execução remota de código, problemas persistentes de Cross Site Scripting (XSS) e problemas de negação de serviço foram resolvidos em vários produtos.
Outro produto com correções importantes é o Java. Foram abordadas 22 vulnerabilidades, 20 das quais são exploráveis remotamente sem autenticação.
Correndo atrás
As grandes empresas de tecnologia, as mais tradicionais e envolvidas com o mercado corporativo, têm realizado constantes divulgações de melhorias na segurança de seus produtos. O hackers parecem cada vez mais ágeis em explorar falhas e, não é raro, eles estarem na dianteira dessa briga digital.
Em 22 de setembro, a Oracle lançou um alerta de segurança lembrando aos usuários que um patch foi emitido em abril para o CVE-2017-9805, a vulnerabilidade Apache Struts que afetou o plugin REST do software no Apache Struts 2.1.2 a 2.3.x antes do 2.3.34 e 2.5.x antes de 2.5.13, o que pode levar à execução remota de código ao com cargas úteis XML.
Acredita-se que essa vulnerabilidade seja a responsável pelo gigantesco rombo de segurança e privacidade que atingiu a Equifax e causou o vazamento de informações de praticamente metade dos consumidores americanos, com exposição de dados sigilosos ainda de pessoas no Reino Unido e Canadá.
O site de suporte da Oracle traz uma lista completa dos produtos afetados pelas atualizações, sob o título Critical Patch Update October 2017 Documentation Map. A empresa aconselha os gestores de TI de seus clientes a instalarem os patches o mais rápido possível para evitar danos ao negócio. Ou seja, não sigam o descaso da Equifax. A próxima CPU Oracle deverá aterrar em 16 de janeiro de 2018.
Acesse os outros sites da VideoPress
Portal Vida Moderna – www.vidamoderna.com.br
Radar Nacional – www.radarnacional.com.br
–
