 |
|
As vulnerabilidades, algumas delas consideradas bastante críticas, estariam basicamente no banco de dados e aplicativos de servidor da companhia. A Oracle deve divulgar esta semana um pacote de correções para falhas de segurança em seus produtos, especialmente no banco de dados e aplicativos de servidor. Segundo a empresa, o pacote, que ela chama de Critical Patch Update, trará 27 correções para vulnerabilidades e bugs em diversos de seus produtos. Alguns desses patches consertarão falhas em múltiplos produtos. Os aplicativos afetados incluem o Oracle Database, Application Server, Collaborative Suite, E-Business Suite and Applications, Enterprise Manager e os softwares PeopleSoft ou JD Edwards EnterpriseOne. “Essa atualização afetará a maioria das organizações, dependendo de quais as versões dos softwares da Oracle vulneráveis”, observa Rich Mogull, fundados da consultoria de segurança Securosis LLC. “Minha sugestão é que elas se preparem para instalar o CPU tão logo ele esteja disponível.” Sobre o quão crítica essa atualização será para os usuários corporativos, os analistas dizem que é preciso considerar o potencial da gravidade dessas correções em questão. Por exemplo, cinco das seis correções para o Oracle Application Server endereçam ameaças que podem ser exploradas remotamente sem a necessidade de nome de usuário ou senha. De forma geral, dez das 27 vulnerabilidades identificadas podem ser executadas remotamente sem autenticação. Para ajudar a identificar as falhas mais sérias, a Oracle está usando uma segunda versão do Common Vulnerability Scoring System (CVSS 2.0), o equivalente em TI ao sistema de alertas utilizado pelo Departamento de Segurança Interna dos Estados Unidos para avaliar o nível das ameaças de segurança. A nota mais alta atribuída pelo CVSS para o banco de dados da Oracle foi 6.5, que o coloca no nível médio. A nota mais alta dada ao produto Application Server foi 9.3 para clientes e 6.8, para servidores. Qualquer nota acima de 7 caracteriza uma vulnerabilidade de alto risco. Enquanto a Oracle se adiantou para estabelecer as falhas mais sérias, ela não deixou claro no material divulgado quais ameaças especificamente são as mais sérias. Para os analistas, esse modelo de divulgação de correções impede que as organizações planejem a correção de seus sistemas. Um porta-voz da Oracle disse ao Computerworld do Canadá que os detalhes de cada vulnerabilidade, bem como as suas notas no CVSS 2.0, seriam divulgados tão logo as correções fossem oficialmente disponibilizadas, esta semana.
|
|
 |
|
