Oracle deja pendiente de cubrir la vulnerabilidad más crítica de su base de datos hasta finales de mes
Algunos clientes Oracle que utilizan el sistema operativo Windows tendrás que esperar otras dos semanas hasta recibir el parche crítico para su software de base de datos, debido a un problema descubierto durante el proceso de pruebas de la última actualización de seguridad del fabricante.
Ayer, Oracle lanzó su actualización trimestral de parches software, cubriendo con ellos no sólo agujeros de su base de datos, sino también en otras aplicaciones. En total, los parches de esta actualización han sido desarrollados para corregir 36 vulnerabilidades, trece de ellas directamente relacionadas con Oracle Database.
Sin embargo, uno de los fallos más serios no estará realmente disponible para los usuarios de la versión 9.2.0.8 de la base de datos hasta el próximo 30 de abril, debido, como se ha dicho, a un incidente descubierto durante el proceso de prueba del software, según ha explicado Darius Wiles, director de Oracle Security Alerts. Esta vulnerabilidad afecta sólo a la plataforma Windows y está ya parcheadas en todas las demás versiones soportadas de la base de datos.
Explotable en remoto y sin privilegios
El fallo en cuestión, conocido como DB01, se encuentra en el sistema Core RDBMS (Relational Database Management System) utilizado por la base de datos de Oracle. Los hackers pueden explotarlo remotamente sobre la red y a diferencia de la mayoría de los agujeros del producto Oracle, no exige que aquellos dispongan de derecho de autenticación en la base de datos.
Según Wiles, se trataba en realidad de la brecha más crítica parcheada por el fabricante este mes, la única en la base de datos clasificada como relativamente severa, con una puntuación de 7.0 en la escala de valoración sobre vulnerabilidades Common Vulnerability Scoring System. El resto de los parches para la plataforma tenían una puntuación de 3.4 o menor.
