Oracle rompe su ciclo de actualizaciones de seguridad

Oracle Corporation ha publicado el “Diagnostics Support Pack February 2006 with Oracle Diagnostics 2.3 RUP A”, lo que supone una actualización genérica para el módulo de diagnóstico del producto Oracle E-Business. Este paquete, además, incluye algunos parches para solucionar graves problemas de seguridad.

Oracle ha hecho público esta circunstancia, con lo que rompe con su ciclo trimestral de publicación y, sobre todo, comunicación de parches críticos de seguridad. Oracle publica habitualmente en base a su proceso trimestral Critical Patch Update (CPU), una profusa actualización que suele contener numerosos parches de seguridad (hasta 82 fallos de seguridad corregidos en su edición de enero).

La compañía siempre se ha basado en el oscurantismo para “proteger” sus sistemas. No suelen dar excesivas explicaciones sobre los fallos que se corrigen, y los pocos detalles que se filtran vienen habitualmente de estudios de ingeniería inversa realizados por profesionales. No es del todo extraño que incluyan parches de seguridad en sus actualizaciones ordinarias, fuera del ciclo CPU, pero lo que no es tan normal es que lo notifiquen, como ha ocurrido con esta última actualización publicada el día 23 de febrero.

La estrategia seguida hasta ahora consistía en incluir y reconocer posteriormente, en el siguiente ciclo trimestral, estas actualizaciones de seguridad hasta ese momento “escondidas” dentro de otras actualizaciones genéricas. Sin embargo, en esta ocasión, Oracle ha reconocido y publicado abiertamente el hecho de que contiene parches de seguridad y además, ha recomendado encarecidamente su instalación. Oracle Diagnostics es una herramienta de Oracle e-Business Suite 11i que permite a administradores diagnosticar el sistema, a través de pruebas técnicas y funcionales llevadas a cabo sobre la configuración del programa.

La compañía Integrigy ha publicado un estudio exhaustivo sobre los problemas de seguridad que abarca esta actualización, y entre ellos se encuentran fallos en las páginas web del módulo Oracle Diagnostics y en las clases Java incluidas con el software. Estos fallos pueden ser aprovechados por atacantes para llevar a cabo diversas acciones no permitidas sobre el sistema, incluso sin necesidad de autenticación. También se han arreglado numerosos problemas de inyección SQL. Cabe destacar que estas vulnerabilidades no afectan a otros productos más conocidos de Oracle, tales como Oracle Database, Oracle Application Server u Oracle Collaboration Suite.

Según Johannes Ullrich, del SANS Internet Storm Center, Oracle Corporation ha supuesto que los fallos son tan serios que ha considerado necesario notificar a los clientes de que la actualización contiene parches de seguridad y de que es muy conveniente instalarlos.

Está programado que el próximo día 18 de abril Oracle incluya en su ciclo habitual los parches que acaban de publicar en esta actualización entre, presumiblemente, muchos otros. Los clientes pueden encontrar más información a través del documento 226429.1 de Oracle MetaLink.