Actualización de octubre del parche crítico para Oracle

Ensombrecido por la locura que ayer desató Duqu, Oracle publicó un montón de actualizaciones críticas. Más interesante todavía, aunque con menor impacto, es la actualización SE BEAST de Java. Oracle afirma haber realizado 57 distintas reparaciones en sus líneas de productos, incluyendo parches para Java y su producto de visualización Sun Ray. Pero el tema más candente es, por supuesto, el parche para CVE-2011-3389, o los agujeros en JSSE.
El demo de BEAST de los investigadores en Ekoparty, Argentina, que publicamos el mes pasado, desarrolló un renovado exploit para crackear las sesiones SSL/TLS con una técnica elaborada hace casi una década. El truco siempre radica en la implementación, no en la discusión, de modo que fue un trabajo impresionante que dejó a los principales fabricantes de software con bastante tarea. Entre estos fabricantes se encontraba Oracle, porque el exploit desarrollado para el exploit abusaba de las vulnerabilidades en el código de Java. El exploit casi provoca un desastre cuando Mozilla consideró bloquear el uso de todos los add-on de Java desde su navegador: “En este momento estamos evaluando la factibilidad de desactivar las instalaciones de Java en Firefox, y actualizaremos la información si lo hacemos”. Por eso resulta sorprendente que Oracle en su matriz de riesgo asignara a este parche una baja “puntuación base” de 4,3 (en una escala de 1 a 10, con 10 como máximo riesgo).
Sin embargo, Oracle les asigna a seis distintos parches de Java una puntuación base de “10”, con cuatro de esos parches de máximo riesgo para el recientemente lanzado Java 7, que afectan al mismo JRE, AWT, Deserialization y a los componentes Scripting de JRE.

Sé que en varias nubes corporativas se ha adoptado el producto de visualización de Oracle “Sun Ray”, por lo que los administradores de la nube deben tener en cuenta que la plataforma tiene un parche para CVE-2011-3538 y para otras cuestiones relacionadas con la autentificación.