A Oracle deve divulgar esta semana um pacote de correções para falhas de segurança em seus produtos, especialmente no banco de dados e aplicativos de servidor.

Segundo a empresa, o pacote, que ela chama de Critical Patch Update, trará 27 correções para vulnerabilidades e bugs em diversos de seus produtos. Alguns desses patches consertarão falhas em múltiplos produtos. Os aplicativos afetados incluem o Oracle Database, Application Server, Collaborative Suite, E-Business Suite and Applications, Enterprise Manager e os softwares PeopleSoft ou JD Edwards EnterpriseOne.

“Essa atualização afetará a maioria das organizações, dependendo de quais as versões dos softwares da Oracle vulneráveis”, observa Rich Mogull, fundados da consultoria de segurança Securosis LLC. “Minha sugestão é que elas se preparem para instalar o CPU tão logo ele esteja disponível.”

Sobre o quão crítica essa atualização será para os usuários corporativos, os analistas dizem que é preciso considerar o potencial da gravidade dessas correções em questão. Por exemplo, cinco das seis correções para o Oracle Application Server endereçam ameaças que podem ser exploradas remotamente sem a necessidade de nome de usuário ou senha. De forma geral, dez das 27 vulnerabilidades identificadas podem ser executadas remotamente sem autenticação.

Para ajudar a identificar as falhas mais sérias, a Oracle está usando uma segunda versão do Common Vulnerability Scoring System (CVSS 2.0), o equivalente em TI ao sistema de alertas utilizado pelo Departamento de Segurança Interna dos Estados Unidos para avaliar o nível das ameaças de segurança.