A Oracle apresentou, na terça-feira (13/07), um pacote para solucionar 59 vulnerabilidades em seus produtos como parte do seu programa trimestral Critical Patch Update. Destas falhas, 21 estão relacionadas à suíte Solaris.

"A Oracle recomenda fortemente aos clientes a aplicação do Critical Patch Update o quanto antes", informou a fabricante, em comunicado. Esta orientação ocorre pela possibilidade de sucesso nos ataques lançados por meio dessas vulnerabilidades.

O pacote contém também 13 atualizações de segurança para o Oracle Database Server, aplicáveis para oitos componentes diferentes do banco de dados: Application Express, Export, Listener, Net Foundation Layer. Network Layer, Oracle OLAP, Oracle Secure Backup e TimesTen In-Memory Database.

Seis das reparações são voltadas para o próprio Database Server. Quatro das vulnerabilidades podem ser exploradas remotamente sem autenticação, ou seja, nenhum nome de usuário ou senha será solicitado. A exploração sem autenticação também ocorre em duas vulnerabilidades no TimesTen In-Memory Database e em três do Secure Backup.

Em termos de severidade, as vulnerabilidades que afetam o TimesTen In-Memory e o Secure Backup receberam score 10 do CVSS (commom vulnerability scoring system), trata-se do mais alto nível. A CVSS leva em consideração as condições para a exploração, a facilidade de ataque e o impacto de um sucesso na exploração.