Oracle publicó su CPU (Actualizaciones Críticas de Seguridad) de julio de 2021, corrigiendo 342 fallos de seguridad en productos Oracle.
La actualización para Java SE corrige 6 vulnerabilidades, de las cuales 5 pueden ser explotada de forma remota sin autenticación. Es decir, la vulnerabilidad puede ser explotada sobre una red sin la necesidad de utilizar una cuenta de usuario y contraseña.
La nueva versión del popular software para el navegador es Java 8 Update 301. Es recomendable actualizar Java tan pronto como sea posible, previa realización de alguna prueba del impacto en aplicaciones dependientes de Java.
Es recomendable que el usuario verifique que utiliza versiones soportadas por Oracle y aplique de inmediato los parches de seguridad disponibles. La falta de aplicación de los parches ya publicados ocasiona la persistencia de los ataques de explotación maliciosa de las vulnerabilidades ya corregidas. El éxito del ataque de explotación suele relacionarse por la falta de aplicación de los parches de seguridad.
Mientras no sean aplicados los parches de seguridad críticos, es posible reducir el riesgo de un ataque exitoso al bloquear los protocolos de red requeridos por un ataque. Para los ataques que requieren ciertos privilegios o acceso a ciertos paquetes, eliminar los privilegios o la capacidad de acceder a los paquetes de los usuarios que no necesitan los privilegios puede ayudar a reducir el riesgo de un ataque exitoso. Ambos enfoques pueden romper la funcionalidad de la aplicación, por lo que es recomendable probar los cambios en los sistemas de producción. Ninguno de los enfoques debe considerarse una solución a largo plazo, ya que ninguno corrige el problema subyacente.
Oracle publica el CPU cada tres meses, específicamente el martes más cercano al día 17 de los meses de enero, abril, julio y octubre. La próxima CPU será publicada el 19 de octubre de 2021.