Oracle Critical Patch Update for July 2022
Pensar en actualizaciones típicamente nos lleva a pensar en los sistemas operativos de Microsoft en primer lugar, pero hay mucho más que parchear, que no solo Windows. Y lo que es más importante, hay mucho más software absolutamente crítico para la prestación de servicios de TI que requiere de nuestra atención. Para muestra, un botón: las bases de datos Oracle.
El 19 de Julio del 2022 Oracle lanzó su Oracle Critical Patch Update for July 2022, en el que recopila una serie de actualizaciones para su software, tanto de bases de datos como middleware. Todo es importante, sin duda, pero las bases de datos requieren de una especial mención y cuidado, ya que al final, es en donde residen los datos de nuestra organización (con el nivel de criticidad y confidencialidad que le hayamos dado a cada uno de esos datos).
Pues bien, entre las vulnerabilidades mencionadas en el boletín de actualización, existe una especialmente relevante, considerada crítica, y que puede ser explotada en remoto sin necesidad de autenticación, permitiendo el acceso a los datos almacenados en el servidor de base de datos. ¡Ahí es nada!.
Sobra decir la importancia de desplegar este, y el resto de parches que pueda aplicar, pero la cosa se complica cuando no se tiene conocimiento detallado de los servidores de bases de datos desplegados en la red. ¿Cuántos son? ¿Cuáles son? ¿Qué edición y en qué versión están? ¿Aún están dentro del ciclo de vida y reciben parches de seguridad? Un despiste en esta información (o directamente no contar con ella) puede resultar muy caro, y acabar costando la pérdida y posterior publicación de información confidencial.
Recuerda que no puedes securizar aquello que no conoces así que garantiza que realmente tienes toda la información sobre tus activos TI, totalmente detallada, y sobre todo, totalmente actualizada. En ese momento, podrás conocer con máximo detalle dónde realizar las acciones de parcheado necesarias, pudiendo priorizar los esfuerzos desde los activos más críticos a los que no lo son tanto.
If You’re Not Doing Continuous Asset Management You’re Not Doing Security
La buena noticia es que Proactivanet es capaz de detectar todos los sistemas gestores de bases de datos que están instalados en la red (por supuesto, incluyendo Oracle), conectarse a ellos, y obtener toda la información necesaria, tanto para conocer el estados de los mismos desde el punto de vista de la ciberseguridad, como para enfrentarse a las tan temidas auditorías software del fabricante.
Oracle Critical Patch Update for July 2022
Puedes ver el detalles de las vulnerabilidades para Oracle Database directamente en el boletín Oracle Critical Patch Update for July 2022
Espero que lo disfrutéis, un saludo
Alejandro Castro, director técnico de Proactivanet
¿Seguridad dispar? ¡Riesgo asegurado!
Proactivanet en 18ENISE: Ciberseguridad y conexiones en un evento de récord
