Oracle divulga correção trimestral

Oracle divulga correção trimestral para 36 falhas em sua linha de produtos

A Oracle publicou uma coleção de correções de software que corrigem vulnerabilidade de segurança em diferentes produtos da companhia, incluindo seus aplicativos de banco de dados.

Na atualização divulgada nesta terça-feira, estão incluídas 14 correções para falhas no banco de dados da Oracle, muitas das quais podem ser exploradas com métodos de infestação, de acordo com a empresa.

No total, foram divulgadas correções para 36 vulnerabilidades neste pacote, ainda que alguns usuários devam ter acesso aos patchs apenas a partir de maio, dependendo de qual sistema operacional ou versão de produto usado.

A companhia também divulgou pacotes de correção para os softwares próprios Application Server, Collaboration Suite, E-Business Suite, e Enterprise Manager, assim como para as aplicações PeopleTools, da PeopleSoft, e o EnterpriseOne Security Server, da JD Edwards.

Muitas das vulnerabilidades representam perigo "significante" e usuário devem aplicar os pacotes em seus softwares assim que possível, disse a empresa de segurança Symantec em um alerta enviado para clientes logo após a publicação das correções pela Oracle. "Nenhuma informação sobre exploração destas falhas foi publicada pela Oracle", garantiu a Symantec.

Uma das falhas corrigidas pela empresa já tinha uma correção circulando pela web. O pesquisador de segurança David Litchfield publicou uma atualização para uma vulnerabilidade no software de gateway PLSQL, usado pelo banco de dados da Oracle para se integrar com aplicações online, em janeiro. Na ocasião, a empresa não aconselhou a aplicação do pacote alternativo, alegando que ele poderia "quebrar uma série de produtos da Oracle".

Mesmo com a atualização, existe ainda um grande número de falhas não corrigidas pela Oracle em seus produtos, de acordo com César Cerrudo, presidente da consultoria de segurança Argeniss.

No começo do mês, a companhia lançou uma ferramenta de segurança chamada Argeniss Ultimate 0 Day Exploits Pach, que contêm um código que explora seis vulnerabiliade não corrigidas no banco de dados da Oracle. Cinco das falhas ainda não foram atualizadas na divulgação desta terça-feira, revelou ele.

De acordo com o executivo, a Oracle precisa fazer um trabalho melhor quando se propõe a corrigir as brechas de seus produtos, já que a lerdeza nas correções está colocando clientes em perigo.

A Oracle tem como critério a divulgação de atualização a cada três meses. O próximo pacote de correção deve ser divulgado agora apenas em julho.

Fonte: IDG Now!