Oracle hat Schwachstellen behoben – zwei aber doch nicht

Von den insgesamt 89 Sicherheitslücken, die Oracle im April im Rahmen seines vierteljährlichen Critical Patch Update beheben wollte, waren zwei anschließend immer noch vorhanden. Das hat der Sicherheitsexperte David Litchfield herausgefunden und in einem Advisory veröffentlicht.

In einem Fall lag der Fehler in einem Java-Paket, wobei das April-Update versäumte, die aktualisierte Version zu laden. Der Administrator kann dies aber von Hand nachholen; betroffen sind alle Plattformen. Ein weiteres Problem betrifft Windows (32- und 64-Bit-Version): Hier kann ein Angreifer durch das Paket CTXSYS.DRILOAD Administratorprivilegien erlangen und so beliebige SQL-Befehle ausführen. Das April-Update enthielt zwar ein aktualisiertes SQL-Skript, kopierte es aber ins falsche Verzeichnis. Laut Litchfield hat Oracle eine Lösung hierfür in seinem Support-Portal veröffentlicht. (bo)