Oracle repara falhas que a NSA pode ter usado

Um enorme conjunto de correcções de segurança abrange quase 300 vulnerabilidades, incluindo ainda um problema na matriz Apache Struts.

_correccoes_seguranca_doctor-1015624_1280A Oracle disponibilizou 299 correcções de segurança para vulnerabilidades nos seus equipamentos. O todo abrange um problema amplamente explorada na matriz Apache Struts e uma falha do sistema operativo Solaris, supostamente usada pela National Security Agency dos EUA.

Esta falha é o ponto de partida do software de intrusão EXTREMEPARR, desenvolvido para o Solaris 10, revelado recentemente pelo grupo de hackers Shadow Brokers, como parte de um conjunto de ferramentas alegadamente usadas pela agência. Outro “exploit” para o Solaris que fazia parte do mesmo “arsenal” foi denominado EBBISLAND foi corrigido em 2012 na actualização 11 (“Update 11”) do Solaris 10, disse a Oracle.

A vulnerabilidade na Struts permite a execução de código, à distância, em servidores de Internet Java e foi corrigida já a 6 de Março. Conhecida a falha, hackers têm-na explorado amplamente desde então.

A Oracle usa a Apache Struts 2 em vários dos seus produtos, razão pela qual a actualização crítica de “patch” da última terça-feira, corrigiu 25 casos da vulnerabilidade da matriz, em aplicações Communications, Retail e Financial Services, bem como na MySQL Enterprise Monitor, WebLogic Server e na aplicação Siebel E-Billing.

Quase 40% de todas as correcções de segurança para o corrente trimestre, referem-se a aplicações da Oracle para sectores específicos, com os de serviços financeiros, retalho, comunicações, serviços públicos, hotelaria, ciências da saúde e seguros.

O pacote contém correcções para 40 falhas classificadas como críticas, 25 das quais têm a pontuação de gravidade mais alta de 10 no Common Vulnerability Scoring System. Em geral, 162 das 299 vulnerabilidades corrigidas podem ser exploradas à distância.

Quase 40% de todas as correções de segurança para o corrente trimestre, referem-se a aplicações da Oracle para sectores específicos, com os de serviços financeiros, retalho, comunicações, serviços públicos, hotelaria, ciências da saúde e seguros. A constatação é do fornecedor de tecnologia e serviço de segurança, ERPScan.

Aplicações críticas como as de PeopleSoft, o E-Business Suite, o JD Edwards, o Siebel CRM e o Primavera Products Suite receberam 83 correcções de segurança.

A Oracle corrigiu também 39 vulnerabilidades na MySQL e 3 no Database Server. A linguagem Java também recebeu oito correcções de segurança.

Fazer a triagem e implantar os “patch”, do maior conjunto de correcções disponibilizado pela Oracle, representará muito trabalho para os administradores de sistemas. O tamanho das atualizações trimestrais da Oracle tem aumentado constantemente ao longo dos anos, levantando a hipótese de um ciclo de actualização mensal, em vez de trimestral, ser mais apropriado.




Deixe um comentário

O seu email não será publicado