Oracle ha lanzado una segunda actualización crítica, un parche de seguridad para 2019 que ha llegado en abril. La compañía ha reparado hasta 297 problemas de su software, y que afecta seriamente a la seguridad. Concretamente se ha lanzado el 17 de abril, un parche para esas 297 vulnerabilidades, 53 de ellas que tienen un CVSS (Common Vulnerabilities Scoring System) del 9.0 o más, que denotan lo críticas que son. No todas las vulnerabilidades son recientes, que eso es peor aún.

Resulta que hay alguna que lleva entre nosotros más de 3 años. Esos años en los que en una biblioteca de Java ha estado totalmente vulnerable a expensas de los atacantes sin que se conociese el problema. Esto no es nada nuevo, lidiar con vulnerabilidades antiguas y nuevas es algo con lo que los expertos en seguridad de Oracle tienen que lidiar para evitar que puedan ser descubiertas antes por ciberdelincuentes y que usen exploits contra ellas.

La vulnerabilidad que lleva esos casi 4 años entre nosotros es la registrada en CVE con el código CVE-2016-1000031 de Java encontrada en la biblioteca Apache Commons FileUpload usada en múltiples aplicaciones de Oracle. La vulnerabilidad existía en el componente DiskFileItem y puede ser manipulada para poder escribir y copiar archivos en el disco de forma arbitraria. Los atacantes remotos podrían explotar esta vulnerabilidad y tomar el completo control del sistema afectado.

Sin duda no muy buenas noticias para Oracle en el sentido del trabajo hecho previamente con su software del portafolio, aunque ahora han solucionado estos problemas con estos parches y todos los afectados deberían apresurarse a actualizar los sistemas. Pero no gusta conocer este tipo de noticias, ya que los productos de Oracle sostienen mucha responsabilidad y sistemas importantes, y no sería afortunado que se transformase en algo similar a lo que ocurrió con Adobe y Flash, dada la cantidad de vulnerabilidades encontradas y lo críticas que resultan algunas…

El artículo Oracle introduce un parche para flaw de Java que lleva 3 años ha sido originalmente publicado en Linux Adictos.