Menos medios que el parche del martes de Microsoft, las soluciones trimestrales presentadas por Oráculo no debe pasarse por alto. A principios de año, la firma de Larry Ellison ataca con un total de 603 corrección de la cual 318 para sus propios productos y 285 para el código Linux que comercializa.

Índice
  1. Dos viejos defectos bajo el foco de atención
  2. Operadores de telecomunicaciones y parches de concentración de análisis
  3. 285 parches para Oracle Linux

Dos viejos defectos bajo el foco de atención

Entre estos parches, algunos tienen diferentes grados de prioridad. El vicepresidente de seguridad, Eric Maurice, destacó la corrección sobre el marco CVE-2025-21556 que coloca una violación en el marco ágil de la gestión del ciclo de vida del producto (PLM) de Oracle. Con una gravedad de 9.9 de 10, la falla ofrece a un atacante con bajos privilegios y acceso a la red para comprometer esta herramienta y, por lo tanto, otros productos Oracle. El editor ya ha publicado una alerta sobre este problema en noviembre de 2024 al emitir un parche de emergencia. Indica que eso proporciona en el boletín trimestral "incluye parches para esta alerta y soluciones adicionales.» »

Otra recepción se refiere al CVE-2024-45492, una falla en la biblioteca de análisis XML LibExPat que Oracle usa en varios productos. La vulnerabilidad fue tratada en agosto de 2024 y clasificó 6.2 en gravedad, pero en diciembre, se reclasificó a 9.8. El NIST señaló que "espera un nuevo análisis que puede conducir a cambios en la información proporcionada. Tenga en cuenta que el editor publicó la versión 2.6.3 en septiembre de 2024 rectificando el problema. Las bibliotecas de este tipo a menudo se pueden encontrar en el software y prácticamente se olvidan. En Oracle, se utilizan en productos destinados a operadores de telecomunicaciones, instituciones financieras y en middleware.

Operadores de telecomunicaciones y parches de concentración de análisis

En la larga lista de boletines de seguridad, las telecomunicaciones estarán interesadas en las fallas de CO -Tabe 85 en soluciones de comunicaciones. 59 de estas vulnerabilidades potencialmente generan la ejecución del código de forma remota. Tres de ellos-CVE-2023-46604, CVE-2024-45492 y CVE-2024-56337 tienen una puntuación CVSS de 9.8, y otros seis tienen una puntuación de 9.1 o 9.0, cuatro de ellos asociados con el sistema de autenticación de Kerberos.

Los productos de análisis necesitan 26 soluciones. Cuatro de ellos tienen una nota mayor que CVSS 9.1 y tres de ellos están en la edición comercial de Business Intelligence. Las dos correcciones menos serias, ambas también calificadas 9.1, se relacionan con problemas en Apache XMLBeans y OpenSSL dentro del marco de seguridad de la plataforma de inteligencia empresarial. Entre los dos fallas de gravedad 9.8, se concierne a un error Uso-después de En la biblioteca Scipy de la plataforma, mientras que la otra se relaciona con el marco de primavera fundamental cuando se usa para Java Dearialization de datos poco confiables.

285 parches para Oracle Linux

JD Edwards recibe 23 correcciones, incluidas dos CVSS 9.8 clasificadas. El primero se refiere a la herramienta de monitoreo y diagnóstico para las herramientas empresariales que permitirían un control completo de los sistemas no socializados y el otro problema es una vulnerabilidad del cruce de directorio en Samba, que se debe a una limpieza inadecuada de Tuberías con nombre clientes entrantes. En el lado de MySQL, hay 39 parches disponibles, incluidos tres con una gravedad de 9.1. Dos de ellos se refieren al sistema de envasado Curl y Kerberos utilizado por MySQL y otro se refiere a la empresa de respaldo, siempre con la función de curl. Si bien PeopleSoft solo ha recibido 16 correcciones, existe un defecto crítico para las versiones 8.60 y 8.61 de las personas empresariales. Si fue explotado, este error le da a un atacante la capacidad de copiar todos los datos de la aplicación y/o plantarlo en el marco de un ataque de negación del servicio.

Finalmente, en Linux d'Oracle incluye 285 correcciones, pero solo dos muestran una gravedad mayor que 9. Ambas se relacionan con las vulnerabilidades en la biblioteca GStreamer1-Plugins-Base. El primero conduce a un desbordamiento de la memoria del búfer y el segundo es un error de escritura fuera de lo que también podría conducir a una corrupción de la memoria.