Oracle ha entregado su colección trimestral habitual de parches: 603 en total, 318 para sus propios productos y otros 285 para el código Linux que distribuye.
El vicepresidente de garantía de seguridad de Big Red, Eric Maurice, destacó un parche como digno de especial atención: las direcciones de corrección. CVE-2025-21556una vulnerabilidad CVSS con calificación CVSS 9.9 sobre 10 en el marco de gestión ágil del ciclo de vida del producto (PLM) de Oracle que permite a un atacante con pocos privilegios y acceso a la red comprometer esa herramienta y, a través de ella, otros productos de Oracle.
Mauricio instado acción porque en noviembre de 2024 Oracle publicó un fuera de banda alerta de seguridad para el marco ágil de PLM. Escribió que el parche entregado el miércoles «incluye parches para esta alerta así como parches adicionales».
Otro problema tiene que ver con CVE-2024-45492, una falla en la biblioteca de análisis XML LibExpat que Oracle utiliza en varios productos. La falla se solucionó en agosto de 2024 y clasificado 6,2 en gravedad, pero en diciembre se actualizó a 9,8. NIST página La falla dice: «Está a la espera de un nuevo análisis que puede resultar en más cambios en la información proporcionada».
Probablemente no sea una gran preocupación, ya que sólo representa una amenaza en sistemas de 32 bits bajo ciertas condiciones. Pero se considera que tiene una complejidad de ataque baja y la versión 2.6.3 que lo solucionó se publicó en septiembre de 2024.
Bibliotecas como esta a menudo pueden llegar al software y quedar casi olvidadas. En Oracle, se utiliza en productos para empresas de telecomunicaciones, organizaciones de servicios financieros y middleware.
Otras correcciones en el colección colosal abordará 85 temas de la gama Oracle Communications ofrecida a las empresas de telecomunicaciones. 59 de las fallas potencialmente permiten la ejecución remota de código. Tres de ellos (CVE-2023-46604, CVE-2024-45492 y CVE-2024-56337) tienen una puntuación CVSS de 9,8, y hay seis más con una puntuación de 9,1 o 9,0, cuatro de ellos asociados con el sistema de autenticación Kerberos.
31 parches apuntan a productos de servicios financieros y 22 solucionan problemas de Oracle Middleware.
Oracle Analytics necesita 26 parches. Cuatro de ellos tienen una calificación superior a CVSS 9.1 y tres de ellos están en la edición empresarial Business Intelligence. Los dos menos graves, ambos con calificación 9.1, abordan problemas en Apache XMLBeans y OpenSSL dentro del marco de seguridad Business Intelligence de la plataforma. De los dos fallos de CVSS 9.8, uno implica un error de uso después de la liberación en la biblioteca SciPy de la plataforma, mientras que el otro pertenece al Pivotal Spring Framework cuando se utiliza para la deserialización de datos no confiables en Java.
Oracle Hospitality Applications necesita solo un parche, pero es una solución crítica con calificación CVSS 9.1 que apunta a una falla en las versiones 5.6.19.20 y posteriores de la aplicación de administración hotelera OPERA. La falla se puede explotar de forma remota para bloquear sistemas vulnerables o capturar todos los datos accesibles en el sistema de gestión OPERA 5.
JD Edwards obtiene 23 parches, dos de ellos con calificación CVSS 9.8. El primero está en la herramienta de monitoreo y diagnóstico para EnterpriseOne Tools que permitiría una toma completa de sistemas sin parches y el otro problema es una vulnerabilidad de recorrido de ruta en Samba que se debe a una «limpieza inadecuada de los nombres de las tuberías de los clientes entrantes».
Hay 39 correcciones para la implementación de MySQL de Oracle, tres de ellas con una calificación CVSS 9.1. Dos son problemas con el sistema de empaquetado curl y Kerberos utilizados por MySQL y uno con la función Enterprise Backup, nuevamente con curl.
Si bien PeopleSoft solo recibió 16 parches, existe un CVSS 9.1 para las versiones 8.60 y 8.61 de Enterprise PeopleTools. Si se explota, la falla permitiría a un atacante copiar todos los datos de la aplicación y/o bloquearla en un ataque de denegación de servicio.
Ya hemos mencionado la falla CVSS 9.9 Agile en la plataforma Supply Chain de Oracle, pero entre cinco parches adicionales, hay otro problema de alta gravedad calificado como CVSS 9.8. Esta vulnerabilidad en el sistema de gestión de datos de ingeniería se debe a un error de uso después de la liberación en el analizador XML Apache Xerces C++. Se recomienda a los usuarios que actualicen a la versión 3.2.5 para solucionar el problema.
Oracle Linux cuenta una historia un poco mejor. Mientras que Big Red lo hizo lanzar 285 parchessólo dos de ellos tienen puntuaciones CVSS superiores a 9. Ambos implican vulnerabilidades en la biblioteca gstreamer1-plugins-base. El primero es un desbordamiento del búfer de pila que podría permitir a un atacante sobrescribir la memoria, y el segundo es un error de escritura fuera de los límites que también podría provocar daños en la memoria. ®
