El programa de actualización de versión crítica

El principal mecanismo de puertos de respuesta de reparaciones para vulnerabilidades de seguridad en productos Oracle es el programa de Actualizaciones de versión críticas (CPU, Critical Patch Update). Las Actualizaciones de parches críticas se publican en las fechas anunciadas con un año de antelación y publicadas en la página Actualizaciones de parches críticas y alertas de seguridad. Los parches abordan vulnerabilidades significativas en la seguridad y también incluyen correcciones de códigos que son requisitos previos para las correcciones de seguridad.

Las actualizaciones de seguridad para todos los productos que reciben CPU están a disposición de los clientes activos de Oracle Support en My Oracle Support. Siga los enlaces a continuación para obtener más información sobre las políticas de corrección de seguridad de Oracle.

El programa de alertas de seguridad

Las Alertas de seguridad son un mecanismo de lanzamiento para una corrección de vulnerabilidad o un número reducido de correcciones de vulnerabilidades. Se utilizaron hasta agosto de 2004 como el principal medio de lanzamiento de correcciones de seguridad. En enero de 2005, Oracle comenzó a lanzar correcciones según un cronograma fijo utilizando las Actualizaciones de versión críticas.

Es posible que Oracle emita una Alerta de seguridad en el caso de que exista una amenaza única o peligrosa para nuestros clientes. En tal caso, se les informará a los clientes sobre la Alerta de seguridad mediante una notificación por correo electrónico a través de My Oracle Support y Oracle Technology Network. La corrección incluida en la Alerta de seguridad también se incluirá en la próxima Actualización de versión crítica.

Actualizaciones acumulativas frente a actualizaciones de uso único

En la medida de lo posible, Oracle intenta que las Actualizaciones de parches críticas sean acumulativas; es decir, que cada Actualización de parches crítica contenga las correcciones de seguridad de todas las Actualizaciones de parches críticas anteriores. En términos prácticos, para aquellos productos que reciben correcciones acumulativas, la última Actualización de parches crítica es la única que se debe aplicar cuando se utilizan únicamente estos productos, ya que contiene todas las correcciones requeridas.

Las correcciones para otros productos que no reciben correcciones acumulativas se lanzan como parches de uso único. Para estos productos, es necesario consultar los avisos de Actualizaciones de versión críticas con el fin de encontrar todos las actualizaciones que posiblemente se deban aplicar.

Anuncio de correcciones de seguridad

Es la política de Oracle anunciar correcciones de seguridad tanto como sea posible solo cuando las correcciones se encuentran disponibles para todas las combinaciones de plataformas y versiones de productos afectados y admitidos. Sin embargo, hay dos excepciones a esta política:

1. Programa a pedido: Oracle no produce parches de forma sistemática para ciertas combinaciones de plataformas y versiones de productos con una descarga de parches históricamente baja por parte de los clientes. Los clientes deben solicitar la producción de estos parches. El programa “a pedido” y el proceso de solicitud de estos parches para CPU recientes o futuras se detallan en el documento de Disponibilidad de parches adjunto en cada lanzamiento de Actualización de parches crítica.

2. Los retrasos mínimos en la disponibilidad del parche de hasta dos semanas después de la fecha del anuncio normalmente se deben a problemas técnicos durante la producción o la prueba del parche.

Tenga en cuenta que en determinadas circunstancias, las Actualizaciones de parches críticas para combinaciones particulares de versiones de productos y plataformas pueden constar de correcciones de vulnerabilidades anunciadas o imprevistas. Una corrección de vulnerabilidad imprevista se puede incluir en un determinado parche de Actualización de parches crítica, cuando parte, pero no la totalidad, de la vulnerabilidad está corregida o bien cuando la corrección se encuentra disponible, en algunas, pero no en la totalidad, de las combinaciones de versiones y plataformas de un determinado producto.

Correcciones de seguridad y conjuntos de parches

Las correcciones de seguridad también se incluyen en conjuntos de parches (o equivalente) y en el lanzamiento de productos nuevos. La política de Oracle es incluir todas las correcciones de seguridad en una Actualización de parches crítica en futuros conjuntos de parches y lanzamientos de productos. Si esto no es posible debido a la fecha del lanzamiento, Oracle crea un parche con las últimas correcciones de la Actualización de parches crítica que se pueden aplicar sobre el lanzamiento del producto o el conjunto de parches lanzado recientemente.

Orden de corrección de vulnerabilidades de la seguridad

Con el fin de proporcionar la mejor postura frente a la seguridad a todos los clientes de Oracle, Oracle corrige las vulnerabilidades de seguridad significativas en función del posible riesgo que plantean a los clientes. Como resultado, los problemas que presentan los riesgos más graves se solucionan primero. Las correcciones de vulnerabilidades de la seguridad se generan en el siguiente orden:

  • La línea de código principal primero—es la línea de código que se está desarrollando para la próxima versión principal del producto
  • Para cada versión compatible que sea vulnerable:
    • Solucionar en el siguiente conjunto de actualizaciones si se planea otro conjunto de actualizaciones para esa versión compatible
    • Creación de actualización de versión de actualización crítica

Tenga en cuenta que Oracle recomienda encarecidamente a los clientes que utilicen solo versiones de productos compatibles y que apliquen correcciones de actualización de versión crítica sin demora en las versiones que están utilizando. Esto se da porque Oracle no ofrece soluciones para versiones de productos sin soporte. Sin embargo, es muy probable que sean sensibles a las vulnerabilidades corregidas por los parches de la CPU. Además, los agentes malintencionados a menudo aplican ingeniería inversa a las reparaciones de la CPU, las transforman en armas e intentan explotar estos problemas maliciosamente poco tiempo después de la publicación de cada versión de CPU.

Nota importante: Recuerde que Oracle recomienda que la Actualización de parches crítica sea el principal medio para que los clientes se mantengan al día con las correcciones de seguridad de todos los productos afectados, ya que las Actualizaciones de parches críticas se lanzan con mayor frecuencia que los conjuntos de parches o los lanzamientos de nuevos productos.

Documentación sobre actualizaciones de parches críticas

Cada Actualización de parches crítica tiene un aviso como su documento principal. Este aviso enumera los productos afectados y contiene una matriz de riesgo para cada paquete de productos.

Matrices de riesgo

Las matrices de riesgo proporcionan información que ayuda a los clientes a evaluar el riesgo que plantean las vulnerabilidades de seguridad en sus entornos específicos. Pueden utilizarse con el fin de identificar los sistemas que corren un mayor riesgo para que se puedan actualizar en primer lugar. Cada nueva vulnerabilidad de seguridad corregida en la Actualización de parches crítica aparece en una fila de la matriz de riesgo para el producto al cual afecta.

Sistema común de puntuación de vulnerabilidades (CVSS)

En octubre de 2006, Oracle cambió un método propio para indicar la gravedad relativa de las vulnerabilidades de la seguridad en las matrices de riesgo por el Sistema común de puntuación de vulnerabilidades (CVSS, Common Vulnerability Scoring System). En el sitio web de FIRSTse describe al CVSS como un sistema de puntuación “diseñado para proporcionar puntuaciones universalmente estándar y abiertas de gravedad de las vulnerabilidades de software.“ El CVSS es un método estandarizado para evaluar la gravedad de las vulnerabilidades de la seguridad. Para cada vulnerabilidad recientemente corregida en la Actualización de parches crítica, Oracle brinda valores para las métricas del CVSS que indican las condiciones previas requeridas para aprovechar la vulnerabilidad y la facilidad del aprovechamiento, y el impacto de un ataque exitoso en términos de confidencialidad, integridad y disponibilidad (CIA, Confidentiality, Integrity and Availability) en el sistema atacado. CVSS utiliza una fórmula para convertir esta información en una Puntuación total entre 0,0 y 10,0, donde 10,0 representa la vulnerabilidad más grave. Las matrices de riesgo se ordenan utilizando la Puntuación total del sistema CVSS, con la vulnerabilidad más grave en primer lugar. Oracle adoptó la versión 3.0 del CVSS estándar en abril de 2016 y es la que se utiliza en la actualidad. El uso del Sistema común de puntuación de vulnerabilidades (CVSS, Common Vulnerability Scoring System) por parte de Oracle brinda una explicación detallada sobre cómo las puntuaciones del CVSS se aplican a los avisos de riesgo de Oracle.

Vulnerabilidades y exposiciones comunes (CVE)

Oracle utiliza los números de las Vulnerabilidades y exposiciones comunes (CVE, Common Vulnerabilities and Exposures) para identificar las vulnerabilidades que aparecen en las matrices de riesgo en los avisos de Actualizaciones de parches críticas y alertas de seguridad. Los números de CVE son identificadores comunes y únicos para la información conocida públicamente sobre las vulnerabilidades de la seguridad. El programa de CVE está copatrocinado por la oficina de Seguridad Cibernética y Comunicaciones del Departamento de Seguridad Interna de EE. UU. y está administrado por MITRE Corporation. Oracle es una Autoridad de numeración de CVE (CNA, CVE Numbering Authority); es decir, la empresa puede emitir números de CVE para las vulnerabilidades en sus productos. Tenga en cuenta que el orden de los números CVE en los avisos de seguridad de Oracle no se corresponde necesariamente con las fechas de descubrimiento de las vulnerabilidades a las que hacen referencia. En otras palabras, los números de CVE no se asignan en el orden de las fechas de descubrimiento de las vulnerabilidades cuyas correcciones se entregarán en dichas distribuciones. Esto se debe a que las Autoridades de numeración de CVE (CNA), como Oracle, reciben de forma periódica conjuntos de números de CVE de MITRE para que no sea necesario presentar una solicitud por separado de una nueva CVE cada vez que se descubre una vulnerabilidad. Oracle asigna los números de CVE de forma secuencial a las vulnerabilidades del grupo de números de CVE asignados por la organización de CVE aproximadamente 3 a 4 semanas antes de la distribución programada de la corrección a través del programa de Actualización de parches crítica.

Resumen ejecutivo

Para ayudar a las organizaciones a evaluar de forma rápida la importancia de los posibles problemas de seguridad corregidos en la Actualización de versión crítica, Oracle brinda un resumen ejecutivo con una sinopsis detallada de los problemas de seguridad en cada producto abordados por la Actualización de versión crítica. Este resumen ejecutivo brinda una explicación sencilla en español de las vulnerabilidades abordadas en la Actualización de versión crítica.

Aviso de lanzamiento previo de actualizaciones de parches críticas

Oracle publica un resumen de la Documentación de actualizaciones de parches críticas los días jueves antes de cada fecha de lanzamiento de la Actualización de parches crítica. Este resumen, denominado Anuncio de lanzamiento previo de actualizaciones de parches críticas, brinda información avanzada sobre la próxima Actualización de parches crítica, que incluye lo siguiente:

  • Nombre y números de versión de los productos de Oracle afectados por las nuevas vulnerabilidades que se corrigen en la Actualización de parches crítica.
  • Cantidad de correcciones de seguridad para cada paquete de productos.
  • Puntuación de CVSS más alta para cada paquete de productos.
  • Y, potencialmente, cualquier otra información que pueda ser relevante para ayudar a las organizaciones a planificar la aplicación de la Actualización de parches crítica en sus entornos.

Si bien Oracle asegura que cada Aviso de lanzamiento previo es lo más preciso posible en el momento de su publicación, el contenido real de cada Actualización de parches crítica puede cambiar después de la publicación del Aviso de lanzamiento previo. Por lo tanto, el Aviso de actualización de versión crítica debe considerarse como la única descripción exacta del contenido real de dicha actualización.