El programa de actualizaciones críticas

El método principal para la aplicación retroactiva de correcciones de vulnerabilidades de seguridad en productos Oracle es el programa de actualizaciones críticas (CPU, del inglés Critical Patch Update) trimestrales. Las actualizaciones críticas se publican en fechas anunciadas un año antes, en la página de alertas de seguridad y actualizaciones críticas. Los parches resuelven vulnerabilidades de seguridad importantes e incluyen correcciones de código necesarias para las correcciones de seguridad.

Las actualizaciones de seguridad de todos los productos con actualizaciones críticas están a disposición de los clientes activos de Oracle Support en My Oracle Support. Siga los enlaces que se incluyen a continuación para obtener más información sobre las políticas de corrección de la seguridad de Oracle.

El programa de alertas de seguridad

Las alertas de seguridad son un método de publicación de correcciones de vulnerabilidad individuales o en grupos pequeños. Hasta agosto de 2004, las alertas de seguridad fueron el principal medio de publicación de correcciones de seguridad. En enero de 2005, Oracle empezó a publicar correcciones con un calendario fijo mediante actualizaciones críticas.

Oracle puede publicar alertas de seguridad si hay amenazas únicas o peligrosas para sus clientes. En este caso, los clientes recibirán un aviso de la alerta de seguridad con una notificación por correo electrónico de My Oracle Support y Oracle Technology Network. La corrección incluida en la alerta de seguridad también se incorporará a la siguiente actualización crítica.


Parches acumulativos frente a puntuales

En la medida de lo posible, Oracle intenta que sus actualizaciones críticas sean acumulativas; es decir, cada actualización crítica incluye las correcciones de seguridad de todas las anteriores. En términos prácticos, la última actualización crítica es la única que necesitan aplicar los productos que reciben correcciones acumulativas, ya que dicha actualización recoge todas las anteriores.

Las correcciones de los productos que no reciben correcciones acumulativas se publican como parches puntuales. En el caso de estos productos, se deben comprobar las consultas sobre las actualizaciones críticas para determinar todos los parches que pueden ser necesarios.


Anuncio de correcciones de seguridad

En la medida de lo posible, la política de Oracle es anunciar correcciones de seguridad únicamente cuando haya correcciones disponibles para todas las combinaciones de plataforma y versión de producto compatibles y afectadas. No obstante, hay dos excepciones para esta política:

  1. 1. Programa a demanda: Oracle no produce sistemáticamente parches para determinadas combinaciones de plataforma y versión de producto que históricamente tienen un bajo número de descargas de clientes. Son los clientes quienes deben solicitar la producción de esos parches. El programa a demanda y el proceso de solicitud de esos parches para actualizaciones críticas recientes o futuras se detallan en el documento de disponibilidad de parches que se incluye con todas las actualizaciones críticas publicadas.
  2. 2. Los parches pueden tardar hasta dos semanas en estar disponibles desde el lanzamiento; estas pequeñas demoras suelen deberse a problemas técnicos durante la producción o las pruebas del parche.

Tenga en cuenta que, en determinadas circunstancias, las actualizaciones críticas de combinaciones de plataforma-versión de producto determinadas pueden incluir correcciones de vulnerabilidad anunciadas y no anunciadas. Las correcciones de vulnerabilidad no anunciadas pueden incluirse en un parche de actualización crítica determinado si se corrigen algunas partes de la vulnerabilidad, pero no todas, o si la corrección está disponible para algunas combinaciones de plataforma-versión de producto, pero no todas.


Correcciones de seguridad y conjuntos de parches

También se incluyen correcciones de seguridad en conjuntos de parches (o similar) y en las versiones nuevas de productos. La política de Oracle es incluir todas las correcciones de seguridad en una actualización crítica y en los conjuntos de parches y las versiones nuevas de productos posteriores. Si no es posible hacerlo así por los plazos de un lanzamiento, Oracle crea un parche que incluye las correcciones de actualizaciones críticas más recientes que se pueden aplicar sobre la versión de producto o el conjunto de parches publicados.


Orden de corrección de vulnerabilidades de seguridad

Para ofrecer un posicionamiento óptimo de seguridad a todos los clientes, Oracle corrige las vulnerabilidades de seguridad importantes en función del riesgo que suponen para los clientes. Como resultado, se solucionan los riesgos más graves. Las correcciones de vulnerabilidades de seguridad se producen en este orden:

  • Línea de código principal en primer lugar—es la línea de código que se está desarrollando para la próxima versión principal del producto
  • Para cada versión con soporte vulnerable:
    • Línea de código principal en primer lugar—es la línea de código que se está desarrollando para la próxima versión principal del producto
    • Menos costes de administración—El calendario de actualizaciones críticas es fijo, por lo que la gestión de parches se puede planificar sin imprevistos. Además, el calendario está diseñado para evitar las habituales lagunas de servicio en las que los clientes no pueden modificar sus entornos de producción.
    • Gestión de parches más sencilla—Las actualizaciones de parches de muchos productos Oracle son acumulativas. De esta forma, los clientes pueden actualizarse rápidamente al nivel de seguridad publicado en cada momento, ya que al aplicar la última actualización crítica acumulativa se resuelven todas las vulnerabilidades anteriores.
    • Identificación de vulnerabilidades de arquitectura—Las evaluaciones de seguridad permiten identificar vulnerabilidades de arquitectura.

Recuerde que Oracle recomienda enérgicamente que los clientes utilicen versiones de productos con soporte y que apliquen las correcciones de actualizaciones críticas sin demora en las versiones que estén utilizando. Esto se debe a que Oracle no proporciona correcciones para versiones de productos sin soporte. Sin embargo, presentan elevadas probabilidades de ser vulnerables a las vulnerabilidades corregidas por parches de CPU y partes malintencionadas a menudo practican técnicas de ingeniería inversa en las correcciones de CPU, las convierten en armas e intentan aprovechar dichos problemas de forma malintencionada poco después de la publicación de cada lanzamiento de CPU.

Nota importante; Recuerde que Oracle recomienda que las actualizaciones críticas sean la forma principal de aplicar las correcciones de seguridad para que los clientes estén al día de las correcciones de seguridad de todos los productos afectados, ya que se publican con más frecuencia que los conjuntos de parches y las nuevas versiones de producto.


Documentación sobre actualizaciones críticas

Cada actualización crítica cuenta con un documento de consulta, que es su referencia principal. Este documento incluye todos los productos afectados y una matriz de riesgos para cada suite de productos.


Matrices de riesgos

Las matrices de riesgos proporcionan información con la que los clientes pueden evaluar el riesgo que suponen las vulnerabilidades de seguridad en su entorno particular. Sirven para identificar los sistemas que tienen más riesgo, para parchearlos en primer lugar. Todas las nuevas vulnerabilidades de seguridad que se corrigen en una actualización crítica se enumeran en una fila de la matriz de riesgos del producto al que afectan.


CVSS (Common Vulnerability Scoring System)

En octubre de 2006, Oracle abandonó su método propietario para indicar la gravedad relativa de las vulnerabilidades de seguridad en las matrices de riesgos y adoptó el sistema CVSS o Sistema Común para la Puntuación de Vulnerabilidades. La web de FIRST define CVSS como un sistema de evaluación “diseñado para proporcionar puntuaciones de gravedad estándares abiertas y universales para las vulnerabilidades de software“. CVSS es un método estandarizado para evaluar la gravedad de las vulnerabilidades de seguridad. Para cada vulnerabilidad que se corrija en la actualización crítica, Oracle proporciona valores de indicadores CVSS que indican las condiciones previas necesarias para hacer el exploit de la vulnerabilidad y su grado de dificultad; el impacto de un ataque exitoso en materia de confidencialidad, integridad y disponibilidad (CIA) para el sistema afectado. CVSS utiliza una fórmula para convertir esta información en una puntuación de base de entre 0,0 y 10,0, donde 10,0 es la vulnerabilidad más grave. Las matrices de riesgos se ordenan con la puntuación de base de CVSS, donde la vulnerabilidad más grave aparece en la parte superior. Oracle adoptó la versión 3.0 del estándar CVSS en abril de 2016, y sigue en uso actualmente. En la página Uso del sistema CVSS (Common Vulnerability Scoring) en Oracle encontrará información detallada sobre cómo se aplican las puntuaciones de CVSS en las consultas de riesgos de Oracle.


CVE (Common Vulnerabilities and Exposures)

Oracle utiliza los números CVE, o Exposiciones y Vulnerabilidades Comunes, para identificar las vulnerabilidades enumeradas en las matrices de riesgos de las consultas de actualizaciones críticas y alertas de seguridad. Los números CVE son identificadores únicos comunes para información pública sobre vulnerabilidades de seguridad. El programa CVE está cofinanciado por la agencia de Ciberseguridad y comunicaciones del Departamento de Seguridad Nacional de los Estados Unidos y está dirigido por la corporación MITRE. Oracle es una Autoridad de numeración CVE (CNA), lo que significa que puede emitir números CVE para las vulnerabilidades de sus productos. Recuerde que el orden de los números CVE de las consultas de seguridad de Oracle no se corresponde necesariamente con las fechas de detección de las vulnerabilidades a las que se refieren. Es decir, los números CVE no se asignan según las fechas de descubrimiento de las vulnerabilidades que se corrigen en esas distribuciones. Esto es así porque MITRE proporciona periódicamente a las Autoridades de numeración CVE como Oracle conjuntos de números CVE, por lo que no es necesario solicitar CVE nuevos por separado cada vez que se detecta una vulnerabilidad. Oracle asigna números CVE a vulnerabilidades por orden consecutivo a partir del conjunto de números CVE asignados por la organización CVE unas 3 o 4 semanas antes de la distribución programada de la corrección mediante el programa de actualizaciones críticas.


Resumen ejecutivo

Para que las organizaciones puedan evaluar rápidamente la importancia de los posibles problemas de seguridad que se corrigen con la actualización crítica, Oracle proporciona un resumen ejecutivo con una sinopsis muy breve de los defectos de seguridad de cada producto que se resuelven en esa actualización. El resumen ejecutivo incluye una explicación en inglés de las vulnerabilidades que resuelve la actualización crítica.


Anuncio previo al lanzamiento de actualizaciones críticas

Oracle publica un resumen de la documentación de actualización crítica el jueves anterior a la fecha de publicación de cada actualización crítica. Este resumen, denominado anuncio previo al lanzamiento de actualizaciones críticas, proporciona información detallada sobre la próxima actualización crítica, e incluye:

  • Nombre y números de versión de los productos Oracle afectados por las vulnerabilidades que se corrigen en la actualización crítica
  • Número de correcciones de seguridad de cada suite de productos
  • Puntuación de base CVSS máxima de cada suite de productos
  • Y, en su caso, cualquier otra información que pueda ser relevante para que las organizaciones planifiquen la aplicación de la actualización crítica en su entorno

Aunque Oracle garantiza que todos los Anuncios previos al lanzamiento son lo más exactos posibles en el momento de su publicación, el contenido real de cada actualización crítica puede cambiar después de la publicación de su anuncio previo. En consecuencia, las consultas de las actualizaciones críticas son la única descripción exacta del contenido real de una actualización crítica.