CSIRT Panamá Aviso 2018-01-17 Actualización crítica de Oracle

Posted By: CSIRT Panamá January 17, 2018 

CSIRT Panamá Aviso 2018-01-17 Actualización crítica de Oracle

Gravedad: Crítica
Fecha de publicación: 17 enero 2018
Fecha de modificación: 17 enero 2018
Última revisión: Revisión A.
Fuente: Oracle Security Advisory

Sistemas Afectados 
Algunos sistemas relevantes:
- MySQL Server, versión 5.5.58 y previas, versión 5.6.38 y previas, versión 5.7.20 y previas
- Primavera Unifier, versiones 10.X, 15.X, 16.X y 17.X
- Oracle VM VirtualBox, versiones anteriores a 5.1.32 y anteriores a 5.2.6
Para la lista completa de los cien (100) sistemas afectados revisar en www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html


I. Descripción

La empresa Oracle ha publicado un parche crítico de seguridad para enero de 2018 en diversos productos. Este parche de seguridad también incluye arreglos en ciertos productos Oracle para las vulnerabilidades en los procesadores Intel: Meltdown (CVE-2017-5754) y en los procesadores AMD y ARM: Spectre (CVE-2017-5753, CVE-2017-5715).


Mitigación

Se recomienda la aplicación del parche crítico de seguridad publicado por Oracle.


Alternativa al parche crítico de seguridad

Para ataques que requieran ciertos privilegios o accesos a determinados paquetes, la eliminación de los privilegios o eliminación de habilidad para acceder a los paquetes de usuarios no autorizados puede ayudar a reducir el riesgo de un ataque exitoso. Sin embargo este tipo de acciones podrían dañar alguna funcionalidad de la aplicación, por lo que Oracle recomienda que los clientes prueben cambios en los sistemas que no son de producción. Este tipo de acciones no deben ser consideradas como una solución a largo de plazo ya que no corrigen el verdadero problema.

II. Impacto
Complejidad de Acceso: Media.
Autenticación: No requerida para explotarla.
Tipo de impacto: Obtención de información sensible.

III. Referencia a soluciones, herramientas e información
a. https://www.us-cert.gov/ncas/current-activity/2018/01/16/Oracle-Releases-January-2018-Security-Bulletin
b. http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html


IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web:   http://www.cert.pa