Oracle ha anunciat el llançament de 378 nous pedaços de seguretat com a part de la seua segona actualització de pedaços crítics (CPU) de 2025, incloses 255 correccions per a vulnerabilitats que es poden explotar de manera remota sense autenticació.
Anàlisi
S’han identificat aproximadament 180 CVE únics en la CPU d´abril de 2025 d’Oracle que inclou 40 pedaços de seguretat que resolen vulnerabilitats de gravetat crítica.
Oracle Communications va rebre la major quantitat de correccions de seguretat, 103, inclosos 82 pedaços per a errors que poden ser explotats per atacants remots no autenticats.
El següent en la llista és MySQL, que va rebre 43 nous pedaços de seguretat (2 per vulnerabilitats no autenticades i explotables de manera remota), seguit per Aplicacions de comunicacions (42 – 35), Aplicacions de servicis financers (34 – 22) i Fusion Middleware (31 – 26).
Oracle també va llançar correccions de seguretat per a E-Business Suite (16 pedaços nous, 11 per a defectes explotables de manera remota sense autenticació), Analytics (15 – 11), Retail Applications (11 – 11), JD Edwards (8 – 5), Construcció i enginyeria (7 – 6), Servidor de base de dades (7 – 3), Comerç (6 – 5) i Java ES (6 – 5).
Es van llançar alguns pedaços per a Enterprise Manager, ferramentes de suport, GoldenGate, Siebel CRM, PeopleSoft, automatització de polítiques, aplicacions d’aliments i begudes, aplicacions d’hospitalitat, Hyperion, cadena de subministrament, virtualització, base de dades en memòria TimesTen, aplicacions d’utilitats i sistemes.
Autonomous Health Framework, Graph Server i Client, Insurance Applications, Essbase i Secure Backup van rebre un pedaç cada un.
Addicionalment va anunciar correccions per a CVE de tercers no explotables. Per a altres productes, les correccions aborden CVE addicionals i CVE no explotables.
Dimarts, també va publicar el Butlletí de tercers de Solaris d’abril de 2025, que conté 16 nous pedaços de seguretat (14 per a falles no autenticades i explotables de manera remota), i el Butlletí de Linux d’abril de 2025, que enumera 48 correccions per a errors d’Oracle Linux resolts i anunciats en l’últim mes i que s’actualitzarà durant dos mesos per a incloure nous CVE.
Recursos afectats
Productes Oracle esmentats en els butlletins disponibles en les referències.
Recomanacions
Es recomana als clients d’Oracle que apliquen els pedaços al més prompte possible, ja que s’ha observat quins actors d’amenaces exploten vulnerabilitats d’Oracle per a les quals s’han publicat correccions però no s’hi han aplicat.
Referències