Oracle ha llançat una segona actualització crítica, un pegat de seguretat per 2019 que ha arribat a l'abril. La companyia ha reparat fins a 297 problemes del seu programari, i que afecta seriosament a la seguretat. Concretament s'ha llançat el 17 d'abril, un pegat per a aquestes 297 vulnerabilitats, 53 d'elles que tenen un CVSS (Common Vulnerabilities Scoring System) de l'9.0 o més, que denoten el crítiques que són. No totes les vulnerabilitats són recents, que això és pitjor encara.
Resulta que hi ha alguna que porta entre nosaltres més de 3 anys. Aquests anys en què en una biblioteca de Java ha estat totalment vulnerable a costa dels atacants sense que es conegués el problema. Això no és res de nou, bregar amb vulnerabilitats antigues i noves és una cosa amb el que els experts en seguretat d'Oracle han de lluitar per evitar que puguin ser descobertes abans per ciberdelinqüents i que facin servir gestes contra elles.
La vulnerabilitat que porta aquests gairebé 4 anys entre nosaltres és la registrada CVE amb el codi CVE-2016-1000031 de Java trobada a la biblioteca Apache Commons FileUpload usada en múltiples aplicacions d'Oracle. La vulnerabilitat existia en el component DiskFileItem i pot ser manipulada per poder escriure i copiar arxius en el disc de forma arbitrària. Els atacants remots podrien explotar aquesta vulnerabilitat i prendre el complet control de sistema afectat.
Sens dubte no molt bones notícies per a Oracle en el sentit de l' treball fet prèviament amb el seu programari de l'portafoli, tot i que ara han solucionat aquests problemes amb aquests pegats i tots els afectats haurien afanyar a actualitzar els sistemes. Però no agrada conèixer aquest tipus de notícies, ja que els productes d'Oracle sostenen molta responsabilitat i sistemes importants, i no seria afortunat que es transformés en una cosa semblant al que va passar amb Adobe i Flash, donada la quantitat de vulnerabilitats trobades i el crítiques que resulten algunes ...