Patchday bei Oracle: 36 LĂĽcken geschlossen
Das Update behebt unter anderem Fehler in Oracles Datenbank, im Application Server, der Collaboration Suite und der E-Business Suite. Allerdings sind die Fixes noch nicht fĂĽr alle Plattformen verfĂĽgbar.
Oracle, Hersteller von Datenbanken und Business-Anwendungen, hat erwartungsgemäß ein Critical Patch Update (CPU) veröffentlicht, das 36 teils kritische Sicherheitslücken schließen soll. Das Update behebt Fehler in Oracles Datenbank, im Application Server, der Collaboration Suite, in E-Business Suite and Applications, im Enterprise Manager sowie in PeopleSoft Enterprise und JD Edwards EnterpriseOne. Der Hersteller führt in seiner Beschreibung mehrere Tabellen auf, aus denen der Anwender entnehmen kann, welche Versionen genau betroffen sind, wie hoch das Risiko ist und wie leicht sich die Schwachstellen ausnutzen lassen. Detailliertere Informationen stehen für registrierte Anwender über Oracles Metalink zur Verfügung.
Abgesehen vom Fix für E-Business Suite and Applications sind alle Patches kumulativ und enthalten somit ebenfalls die Korrekturen des vergangenen Critical Patch Update vom Januar, das insgesamt 103 Löcher stopfte. Die letzte Woche bekannt gewordene Sicherheitslücke in der Datenbank wird mit dem Update allerdings nicht geschlossen. Ein Angreifer könnte sich darüber Leserechte auf der Datenbank und sogar Schreibzugriff verschaffen. Abhilfe schafft derzeit nur, Datenbank-Accounts die Rechte für CREATE VIEW und gegebenenfalls auch für CREATE DATABASE LINK zu entziehen.
Nach Angaben der Spezialisten fĂĽr Datenbanksicherheit, Alexander Kornbrust und Pete Finnigan, liefert Oracle das Update auch noch nicht fĂĽr alle Plattformen aus. So seien manche Fixes voraussichtlich erst am 1. Mai verfĂĽgbar. Das Datenbank-Update 10.1.0.3 fĂĽr Solaris auf x86-Plattformen ist sogar erst fĂĽr den 15. Mai angekĂĽndigt.
Siehe dazu auch: (dab)
- Oracle Critical Patch Update – April 2006, Beschreibung von Oracle
