Em sua Critical Patch Update (CPU) trimestral, a Oracle fechou 128 falhas de segurança em todas as ofertas de produtos da empresa. Duas das vulnerabilidades abordadas por estes patches são classificadas com maior severidade e pontuação de 10, de acordo com o Common Vulnerability Scoring System (CVSS2). Estas duas vulnerabilidades afetam o Workload Manager no Database Server 11g da Oracle (CVE-2013-1534) e no JRockit JVM da empresa Fusion Middleware (CVE-2013-2380). Por conta da ameaça representada pelas falhas, a Oracle recomenda que os clientes apliquem as correções propostas pela Critical Patch Update assim que possível.

O Database Server da Oracle, ambas as versões 10g e 11g, é afetado por quatro vulnerabilidades no total; além da falha no Workload Manager com uma pontuação de 10, as outras três vulnerabilidades possuem uma pontuação CVSS2 de 5. Todas essas vulnerabilidades podem ser exploradas remotamente sem autorização. Diferentes componentes do MySQL server open source receberam um total de 25 patches, a maioria dos quais não são explorados remotamente e variam em gravidade de uma pontuação base de 6.8 para 1.5. O Oracle Fusion Middleware é afetado por um total de 29 patches, variando em gravidade na pontuação CVSS2 de 10 a menos de 1.5; 22 desses patches podem ser exploradas remotamente sem autorização. O E-Business Suite teve seis falhas detectadas, a mais grave delas com uma pontuação CVSS2 de 5.

O Supply Chain da Oracle recebeu três patches, à PeopleSoft Products são atribuídos 11 patches, e a Oracle Sun Middleware teve duas falhas corrigidas – todas estas vulnerabilidades possuem uma pontuação de gravidade inferior a 5. A empresa também corrigiu oito problemas no Siebel CRM suite, com classificações de gravidade variando entre 6 e 3.5 e entregou patches para a Oracle Financial Services Software (18),  Oracle Industry Applications (3), e sua Primavera Products Suite (2), todos os quais possuindo uma classificação CVSS2 de 5.5 ou inferior. A Oracle e a Sun Systems Products Suite estão afetadas por um total de 16 patches que variam de pontuação 6.4 a 1.7 e a Oracle Support Tools possuía uma falha no componente Automatic Service Request que foi avaliado em 6.9 na escala CVSS2.

A Critical Patch Update da Oracle não inclui patches para o Java, já que estes foram entregues antes, separadamente. Informações detalhadas sobre as atualizações e como recebê-las estão disponíveis no Oracle’s Critical Patch Update Advisory for April 2013.

Com informações de The H Online