No se han encontrado resultados

Su búsqueda no coincide con ningún resultado.

Le sugerimos que pruebe lo siguiente para encontrar lo que busca:

  • Compruebe la ortografía de la búsqueda por palabras clave.
  • Utilice sinónimos de la palabra clave que escribió; por ejemplo, pruebe con “aplicación” en lugar de “software”.
  • Pruebe una de las búsquedas populares que se muestran a continuación.
  • Realice una nueva búsqueda.
Preguntas más populares

El programa de actualizaciones críticas

El método principal para la aplicación retroactiva de correcciones de vulnerabilidades de seguridad en los productos Oracle es el programa de actualizaciones críticas (CPU, del inglés Critical Patch Update) trimestrales. Las actualizaciones críticas se publican en fechas anunciadas un año antes, en la página de alertas de seguridad y actualizaciones críticas. Los parches resuelven vulnerabilidades de seguridad importantes e incluyen correcciones de código necesarias para las correcciones de seguridad.

Las actualizaciones de seguridad de todos los productos con actualizaciones críticas están a disposición de los clientes activos de Oracle Support en My Oracle Support. Siga los enlaces que se incluyen a continuación para obtener más información sobre las políticas de corrección de la seguridad de Oracle.

El programa de alertas de seguridad

Las alertas de seguridad son un método de publicación de correcciones de vulnerabilidad individuales o en grupos pequeños. Hasta agosto de 2004, las alertas de seguridad fueron el principal medio de publicación de correcciones de seguridad. En enero de 2005, Oracle empezó a publicar correcciones con un calendario fijo mediante actualizaciones críticas.

Oracle puede publicar alertas de seguridad si hay amenazas únicas o peligrosas para sus clientes. En este caso, los clientes recibirán un aviso de la alerta de seguridad con una notificación por correo electrónico de My Oracle Support y Oracle Technology Network. La corrección incluida en la alerta de seguridad también se incorporará a la actualización crítica subsiguiente.

Parches acumulativos frente a puntuales

En la medida de lo posible, Oracle intenta que sus actualizaciones críticas sean acumulativas; es decir, cada actualización crítica incluye las correcciones de seguridad de todas las anteriores. En términos prácticos, la última actualización crítica es la única que necesitan aplicar los productos que reciben correcciones acumulativas, ya que dicha actualización recoge todas las anteriores.

Las correcciones de los productos que no reciben correcciones acumulativas se publican como parches puntuales. En el caso de estos productos, se deben comprobar las consultas sobre las actualizaciones críticas para determinar todos los parches que pueden ser necesarios.

Anuncio de correcciones de seguridad

En la medida de lo posible, la política de Oracle es anunciar correcciones de seguridad únicamente cuando haya correcciones disponibles para todas las combinaciones de plataforma y versión de producto compatibles y afectadas. No obstante, hay dos excepciones para esta política:

1. Programa a demanda: Oracle no produce sistemáticamente parches para determinadas combinaciones de plataforma y versión de producto que históricamente tienen un bajo número de descargas de clientes. Son los clientes quienes deben solicitar la producción de esos parches. El programa a demanda y el proceso de solicitud de esos parches para actualizaciones críticas recientes o futuras se detallan en el documento de disponibilidad de parches que se incluye con todas las actualizaciones críticas publicadas.

2. Los parches pueden tardar hasta dos semanas en estar disponibles desde el lanzamiento; estas pequeñas demoras suelen deberse a problemas técnicos durante la producción o las pruebas del parche.

Tenga en cuenta que, en determinadas circunstancias, las actualizaciones críticas de combinaciones de plataforma-versión de producto determinadas pueden incluir correcciones de vulnerabilidad anunciadas y no anunciadas. Las correcciones de vulnerabilidad no anunciadas pueden incluirse en un parche de actualización crítica determinado si se corrigen algunas partes de la vulnerabilidad, pero no todas, o si la corrección está disponible para algunas combinaciones de plataforma-versión de producto, pero no todas.

Correcciones de seguridad y conjuntos de parches

También se incluyen correcciones de seguridad en conjuntos de parches (o similar) y en las versiones nuevas de productos. La política de Oracle es incluir todas las correcciones de seguridad en una actualización crítica y en los conjuntos de parches y las versiones nuevas de productos posteriores. Si no es posible hacerlo así por los plazos de un lanzamiento, Oracle crea un parche que incluye las correcciones de actualizaciones críticas más recientes que se pueden aplicar sobre la versión de producto o el conjunto de parches publicados.

Orden de corrección de vulnerabilidades de seguridad

Para ofrecer un posicionamiento óptimo de seguridad a todos los clientes, Oracle corrige las vulnerabilidades de seguridad importantes en función del riesgo que suponen para los clientes. Como resultado, se solucionan los riesgos más graves. Las correcciones de vulnerabilidades de seguridad se producen en este orden:

  • Línea de código principal en primer lugar—es la línea de código que se está desarrollando para la próxima versión principal del producto
  • Para cada versión con soporte vulnerable:
    • Corrección en el próximo juego de parches si hay otro juego de parches previsto para dicha versión con soporte
    • Creación del parche de actualizaciones críticas

Recuerde que Oracle recomienda enérgicamente que los clientes utilicen versiones de productos con soporte y que apliquen las correcciones de actualizaciones críticas sin demora en las versiones que estén utilizando. Esto se debe a que Oracle no proporciona correcciones para versiones de productos sin soporte. Sin embargo, presentan elevadas probabilidades de ser vulnerables a las vulnerabilidades corregidas por parches de CPU y partes malintencionadas a menudo practican técnicas de ingeniería inversa en las correcciones de CPU, las convierten en armas e intentan aprovechar dichos problemas de forma malintencionada poco después de la publicación de cada lanzamiento de CPU.

Nota importante; Recuerde que Oracle recomienda que las actualizaciones críticas sean la forma principal de aplicar las correcciones de seguridad para que los clientes estén al día de las correcciones de seguridad de todos los productos afectados, ya que se publican con más frecuencia que los conjuntos de parches y las nuevas versiones de producto.

Documentación sobre actualizaciones críticas

Cada actualización crítica cuenta con un documento de consulta, que es su referencia principal. Este documento incluye todos los productos afectados y una matriz de riesgos para cada suite de productos.

Matrices de riesgos

Las matrices de riesgos proporcionan información con la que los clientes pueden evaluar el riesgo que suponen las vulnerabilidades de seguridad en su entorno particular. Sirven para identificar los sistemas que tienen más riesgo, para parchearlos en primer lugar. Todas las nuevas vulnerabilidades de seguridad que se corrigen en una actualización crítica se enumeran en una fila de la matriz de riesgos del producto al que afectan.

Sistema común para la puntuación de vulnerabilidades (CVSS)

Oracle utiliza el sistema común para la puntuación de vulnerabilidades (CVSS) para notificar la gravedad relativa de las vulnerabilidades de seguridad. La información de CVSS se proporciona en las matrices de riesgo publicadas en las actualizaciones críticas y en las alertas de seguridad como métricas individuales que cubren los aspectos técnicos de las vulnerabilidades, por ejemplo, las condiciones previas necesarias para una explotación fructífera. CVSS utiliza una fórmula para convertir las métricas en una puntuación base entre 0,0 y 10,0, donde 10,0 representa la mayor gravedad. Oracle ordena las matrices de riesgo utilizando esta puntuación base, con la vulnerabilidad más grave en la parte superior de cada matriz de riesgo. Oracle proporciona información adicional sobre cada vulnerabilidad para ayudar a los clientes a tomar decisiones de aplicación de parches mejor fundadas.

Oracle adoptó CVSS en 2006 y ha adoptado versiones más nuevas del estándar a medida que se publican. La versión 3.1 de CVSS, que es la utilizada en los avisos y alertas actuales, se adoptó en julio de 2020. El uso del sistema común para la puntuación de vulnerabilidades (CVSS) de Oracle proporciona una explicación detallada sobre cómo se aplican las calificaciones del CVSS en los avisos de riesgo de Oracle.

Exposiciones y vulnerabilidades comunes (CVE)

Oracle utiliza los números de exposiciones y vulnerabilidades comunes (CVE), para identificar las vulnerabilidades enumeradas en las matrices de riesgos de las consultas de actualizaciones críticas y alertas de seguridad. Los números CVE son identificadores únicos comunes para información pública sobre vulnerabilidades de seguridad. El programa CVE está cofinanciado por la agencia de Ciberseguridad y comunicaciones del Departamento de Seguridad Nacional de los Estados Unidos y está dirigido por la corporación MITRE. Oracle es una Autoridad de numeración CVE (CNA), lo que significa que puede emitir números CVE para las vulnerabilidades de sus productos. Recuerde que el orden de los números CVE de las consultas de seguridad de Oracle no se corresponde necesariamente con las fechas de detección de las vulnerabilidades a las que se refieren. Es decir, los números CVE no se asignan según las fechas de descubrimiento de las vulnerabilidades que se corrigen en esas distribuciones. Esto es así porque MITRE proporciona periódicamente a las Autoridades de numeración CVE como Oracle conjuntos de números CVE, por lo que no es necesario solicitar CVE nuevos por separado cada vez que se detecta una vulnerabilidad. Oracle asigna números CVE a vulnerabilidades por orden consecutivo a partir del conjunto de números CVE asignados por la organización CVE unas 3 o 4 semanas antes de la distribución programada de la corrección mediante el programa de actualizaciones críticas.

Resumen ejecutivo

Para que las organizaciones puedan evaluar rápidamente la importancia de los posibles problemas de seguridad que se corrigen con la actualización crítica, Oracle proporciona un resumen ejecutivo con una sinopsis muy breve de los problemas de seguridad de cada producto que se resuelven en esa actualización. El resumen ejecutivo incluye una explicación en inglés de las vulnerabilidades que resuelve la actualización crítica.

Anuncio previo al lanzamiento de actualizaciones críticas

Oracle publica un resumen de la documentación de actualización crítica el jueves anterior a la fecha de publicación de cada actualización crítica. Este resumen, denominado anuncio previo al lanzamiento de actualizaciones críticas, proporciona información detallada sobre la próxima actualización crítica, e incluye:

  • Nombre y números de versión de los productos Oracle afectados por las vulnerabilidades que se corrigen en la actualización crítica
  • Número de correcciones de seguridad de cada suite de productos
  • Puntuación de base CVSS máxima de cada suite de productos
  • Y, en su caso, cualquier otra información que pueda ser relevante para que las organizaciones planifiquen la aplicación de la actualización crítica en su entorno

Aunque Oracle garantiza que todos los Anuncios previos al lanzamiento son lo más exactos posibles en el momento de su publicación, el contenido real de cada actualización crítica puede cambiar después de la publicación de su anuncio previo. En consecuencia, los consejos de las actualizaciones críticas son la única descripción exacta del contenido real de una actualización crítica.