Oracle ha publicado las actualizaciones críticas de seguridad (CPU) de enero de 2016 con las cuales corrige 248 fallos de seguridad en productos Oracle.
El CPU contiene 8 correcciones de seguridad para Oracle Java SE. Siete de estas vulnerabilidades pueden ser explotadas de forma remota sin autenticación. Es decir, la vulnerabilidad puede ser explotada sobre una red sin la necesidad de utilizar una cuenta de usuario y contraseña.
La nueva versión del popular software para el navegador es Java 8 Update 71. Es recomendable actualizar Java tan pronto como sea posible. Antes de aplicar la actualización de seguridad es conveniente realizar alguna prueba del impacto en aplicaciones dependientes de Java.
Oracle afirmó que ha recibido reportes de la explotación maliciosa de las vulnerabilidades ya corregidas y que el éxito de los atacantes se debe a la falta de aplicación de los parches ya publicados. Es recomendable verificar que se mantienen versiones soportadas por Oracle y sean aplicados de inmediato los parches de seguridad correspondientes.
Otros productos Oracle para los que se publicaron parches que corrigen vulnerabilidades que pueden ser explotadas de forma remota sin autenticación son:
- Oracle Database Server (Oracle GoldenGate)
- Oracle Fusion Middleware
- Oracle Enterprise Manager Grid Control
- Oracle E-Business Suite
- Oracle Supply Chain Products Suite
- Oracle PeopleSoft Products
- Oracle JD Edwards Products
- Oracle iLearning
- Oracle Retail Applications
- Oracle Sun Systems Products Suite
- Oracle Virtualization
- Oracle MySQL
El 10-Nov-2015 Oracle publicó la alerta de seguridad para CVE-2015-4852, resolviendo una vulnerabilidad de deserialización que involucra a Apache Commons y Oracle WebLogic Server. Se trata de una vulnerabilidad de ejecución remota de código y que es explotable de forma remota sin autenticación. Es recomendable aplicar esta actualización tan pronto como sea posible.
Oracle publica el CPU cada tres meses, específicamente el martes más cercano al día 17 de los meses de enero, abril, julio y octubre. La próxima CPU será publicada el 19-Abr-2016.