25 vulnerabilidades de seguridad corregidas en Java
Oracle ha publicado las actualizaciones críticas de seguridad (CPU) para 25 vulnerabilidades de Java SE, 22 de las cuales pueden ser explotables de forma remota sin autenticación. Es decir, la vulnerabilidad puede ser explotada sobre una red sin la necesidad de utilizar una cuenta de usuario y contraseña.
Es recomendable actualizar Java tan pronto como sea posible. Antes de aplicar la actualización de seguridad es conveniente realizar alguna prueba del impacto en aplicaciones dependientes de Java.
Oracle publica el CPU cada tres meses, específicamente el martes más cercano al día 17 de los meses de enero, abril, julio y octubre. La próxima CPU será publicada el 20-Ene-2015.
Además de Java, el CPU publicado por Oracle contiene otras 129 actualizaciones de seguridad para otros productos de Oracle, distintos de Java, entre otros Oracle Database, Oracle Fusion Middleware, Oracle Enterprise Manager Grid Control, Oracle E-Business Suite, Oracle Supply Chain Product Suite, Oracle PeopleSoft Enterprise, Oracle JDEdwards EnterpriseOne, Oracle Communications Industry Suite, Oracle Retail Industry Suite, Oracle Health Sciences Industry Suite, Oracle Primavera, Oracle and Sun Systems Product Suite, Oracle Linux and Virtualization, y Oracle MySQL.
Excepto Oracle Enterprise Manager Grid Control, Oracle JDEdwards EnterpriseOne, Oracle Primavera, los demás productos también contienen vulnerabilidades que permiten la explotación remota sin autenticación.
Oracle afirmó que ha recibido reportes de la explotación maliciosa de las vulnerabilidades ya corregidas y que el éxito de los atacantes se debe a la falta de aplicación de los parches ya publicados. Es recomendable que el usuario supervise que mantiene versiones soportadas por Oracle y en su caso aplique de inmediato el parche de seguridad correspondiente.