Revisando las actualizaciones de Java que no podremos instalar si queremos seguir usando LexNet, compruebo que una de las vulnerabilidades que corrigen los últimos parches mensuales de Oracle es precisamente la que permitió a los hackers robar a Equifax los datos personales de más de 140 millones de norteamericanos.

"The Apache Foundation’s fixes for CVE-2017-5638, an Apache Struts 2 vulnerability identified by Equifax in relation to Equifax’s recent security incident, were distributed by Oracle to its customers in the April 2017 Critical Patch Update, and should have already been applied to customer systems.

Subsequent to the Equifax breach, the Apache Foundation released fixes for a number of additional Apache Struts 2 vulnerabilities (CVE-2017-9805, CVE-2017-7672, CVE-2017-9787, CVE-2017-9791, CVE-2017-9793, CVE-2017-9804, and CVE-2017-12611). Oracle is distributing these fixes as part of this Security Alert for the benefit of our customers.

Oracle strongly recommends that the fixes contained in this Security Alert be applied without delay."

La vulnerabilidad en cuestión no era propiamente de Java, pero sí de las que Oracle corrigió con su actualización mensual de abril y obviamente no fue aplicada en su día por Equifax.

Como decía antes de ayer, cuando nos informaron que no debíamos actualizar, Susto o Muerte.
 

José Francisco Ruiz
Abogado