Oracle patcht außer der Reihe
Oracle hat außerhalb seines vierteljährlichen Patch-Zyklus ein Update für seine E-Business Suite 11i herausgegeben, das mehrere Sicherheitslücken in den Oracle Diagnostics schließen soll.
Oracle hat außerhalb seines vierteljährlichen Patch-Zyklus ein Update für seine E-Business Suite 11i herausgegeben. Das Update soll mehrere Sicherheitslücken in den Oracle Diagnostic Web Pages und den dazugehörigen Java-Klassen schließen. Unter anderem soll es damit laut einer Analyse des Sicherheitsdienstleisters Integrigy möglich sein, ohne Authentifizierung Zugriff auf Diagnose-Funktionen zu erlangen. Neben dem Zugriff auf Überwachungsfunktionen und Statistiken lassen sich damit etwa Oracle Applications debuggen und das Ergebnis an den Support des Hersteller einreichen. Oracle rät Anwendern zur Installation des Diagnostics Support Pack February 2006 with Oracle Diagnostics 2.3 RUP. Nebenbei wurden aber auch mehrere SQL-Injection-Lücken beseitigt, über die sich die Datenbank hätte manipulieren lassen.
Oracle hat zu den Problemen noch kein eigenes Advisory öffentlich zugänglich gemacht. Bislang haben nur regististrierte Anwender über Metalink Zugriff auf das Update und Informationen darüber. Im planmäßigen anstehenden Critical Patch Update am 18. April sollen die Fixes ebenfalls enthalten sein.
Siehe dazu auch: (dab)
- Security Analysis Diagnostic Support Pack, Bericht von Integrigy
