Viel Arbeit zum Oracle-Patchtag
Wie angekündigt hat Oracle zum vierteljährlichen Patchday insgesamt 51 Fehler in verschiedenen Produkten korrigiert.
Wie angekündigt hat Oracle zum vierteljährlichen Patchday insgesamt 51 Fehler in verschiedenen Produkten korrigiert. In der Datenbank werden insgesamt 27 Lücken beseitigt. Darüber hinaus beseitigt Oracle insgesamt 11 Fehler im Workspace Manager, 3 in Oracle Text und 3 in Oracle Spatial. Weiterhin werden Lücken in Advanced Queueing, XMLDB, OID und ASO) geschlossen.
Nach Einschätzung des Datenbankspezialisten Alexander Kornbrust, der einen Teil der Fehler entdeckt und gemeldet hatte, ist der Import-Fehler der schwerwiegendste. Er hat ein CVSS-Rating von 6.5 (CVSS 2.0) und betrifft alle Versionen von Oracle. Dieser Fehler erlaubt es, beliebige Kommandos als Benutzer SYS auszuführen. Aber auch einige der anderen Sicherheitslücken wie die im Database Vault (DB21) und Enterprise Manager (EM01) lassen sich nach Kornbrusts Aussage übers Netz ohne Benutzerkennung ausnutzen. Zum Teil fehlen jedoch noch detailliertere Informationen zu den Hintergründen der einzelnen Schwachstellen. Der Datenbank-Spezialist will in den nächsten Tagen weitere Analysen veröffentlichen.
Siehe dazu auch:
- Oracle Critical Patch Update - October 2007 Zusammenfassung von Oracle
(ju)
