Oracle schließt 36 Sicherheitslücken

Statt der 37 angekündigten schließt Oracle am heutigen Patchday nur 36 Sicherheitslücken in seinen Produkten. Das Critical Patch Update (CPU) beseitigt unter anderem Lücken in Oracles Datenbankprodukten, mit denen aus der Ferne der Zugriff auf das System möglich war. Die kritischste davon betrifft aber nur die Produkte für Windows. Das Update für Oracle Database 9.2.0.8 soll allerdings erst Ende April zur Verfügung stehen.

Außerdem beheben die Patches Fehler in Oracles Application Server, E-Business Suite, Enterprise Manager, Peoplesoft Enterprise und anderen Produkten; die Fehler können dazu ausgenutzt werden, Inhalte auszuspähen oder zu manipulieren. Die älteste geschlossene Lücke (AS01) war Oracle nach Angaben des Spezialisten für Datenbanksicherheit Alexander Kornbrust seit 2003 bekannt und war immerhin mit einer 4.2 von 10 im Rahmen der Risikoeinschätzung mittels des Common Vulnerability Scoring System (CVSS) ausgezeichnet. Darüber hinaus hat Oracle noch vier weitere von Kornbrust entdeckte Schwachstellen beseitigt – Kornbrust referiert über ähnliche Lücken und Datenbank-Rootkits auch auf den kommenden heise-Security-Konferenzen.

Anhand der Risk-Matrix in Oracles Übersicht zum CPU können Anwender entnehmen, um welche Art von Problem es sich bei den einzelnen Schwachstellen handelt. Zudem gibt das Schwachstellen-Scoring (CVSS) eine Einschätzung zum Risiko der jeweiligen Lücke.

Siehe dazu auch:

• Oracle Critical Patch Update - April 2007, Übersicht von Oracle

(dab)