A Oracle publicou hoje seu boletim trimestral com nada menos que 136 correções de seguranças para toda sua linha de produtos.
A grande novidade desse boletim é a adoção do sistema de classificação de importância de vulnerabilidades CVSS 3.0, padrão na indústria. Até então, a Oracle vinha se atendo à versão 2.0 do CVSS.
Os produtos que tiveram falhas de segurança consideradas altas ou críticas pelo novo sistema corrigidas nessa rodada são: Oracle Database Server, Oracle Fusion Middleware, Oracle Enterprise Manager Grid Control, Oracle E-Business Suite, Oracle Supply Chain Products Suite, Oracle PeopleSoft Products, Oracle Financial Services Software, Oracle Java SE, Oracle Sun Systems Products, Oracle Virtualization, Oracle MySQL e Oracle Berkeley DB. Administradores de sistema devem obter as atualizações imediatamente na página oficial.
Com a adoção da CVSS 3.0 para classificar o nível de perigo potencial das falhas, a Oracle passa a adotar um critério familiar aos analistas de segurança e adotado por outras empresas, como Adobe e Microsoft. A partir deste critério, pode-se esperar relatórios mais precisos do impacto das falhas que não forem corrigidas.
Por enquanto, a Oracle exibe as notas de cada vulnerabilidade em seu Critical Patch Update usando tanto o CVSS 3.0 quanto o antigo padrão CVSS 2.0 para fins de comparação, mas a empresa deve adotar somente o modelo mais atual para sua próxima rodada de correções trimestral.
