Patchday bei Oracle: 36 Lücken geschlossen
Das Update behebt unter anderem Fehler in Oracles Datenbank, im Application Server, der Collaboration Suite und der E-Business Suite. Allerdings sind die Fixes noch nicht für alle Plattformen verfügbar.
Oracle, Hersteller von Datenbanken und Business-Anwendungen, hat erwartungsgemäß ein Critical Patch Update (CPU) veröffentlicht, das 36 teils kritische Sicherheitslücken schließen soll. Das Update behebt Fehler in Oracles Datenbank, im Application Server, der Collaboration Suite, in E-Business Suite and Applications, im Enterprise Manager sowie in PeopleSoft Enterprise und JD Edwards EnterpriseOne. Der Hersteller führt in seiner Beschreibung mehrere Tabellen auf, aus denen der Anwender entnehmen kann, welche Versionen genau betroffen sind, wie hoch das Risiko ist und wie leicht sich die Schwachstellen ausnutzen lassen. Detailliertere Informationen stehen für registrierte Anwender über Oracles Metalink zur Verfügung.
Abgesehen vom Fix für E-Business Suite and Applications sind alle Patches kumulativ und enthalten somit ebenfalls die Korrekturen des vergangenen Critical Patch Update vom Januar, das insgesamt 103 Löcher stopfte. Die letzte Woche bekannt gewordene Sicherheitslücke in der Datenbank wird mit dem Update allerdings nicht geschlossen. Ein Angreifer könnte sich darüber Leserechte auf der Datenbank und sogar Schreibzugriff verschaffen. Abhilfe schafft derzeit nur, Datenbank-Accounts die Rechte für CREATE VIEW und gegebenenfalls auch für CREATE DATABASE LINK zu entziehen.
Nach Angaben der Spezialisten für Datenbanksicherheit, Alexander Kornbrust und Pete Finnigan, liefert Oracle das Update auch noch nicht für alle Plattformen aus. So seien manche Fixes voraussichtlich erst am 1. Mai verfügbar. Das Datenbank-Update 10.1.0.3 für Solaris auf x86-Plattformen ist sogar erst für den 15. Mai angekündigt.
Siehe dazu auch: (dab)
- Oracle Critical Patch Update – April 2006, Beschreibung von Oracle
