Oracle schließt 51 Lücken
Allein in den Datenbank-Produkten werden 17 Schwachstellen behoben, von denen sich eine über das Netz ausnutzen lässt, um den Server zu manipulieren.
- Daniel Bachfeld
Wie angekündigt hat Oracle sein Critical Patch Update für den Januar 2007 veröffentlicht, mit 51 Patches einen weniger, als in dem neu eingeführten Pre-Release Announcement noch beschrieben. Betroffen sind zahlreiche Produkte, angefangen von Oracle Database, Oracle Application Server, Oracle Collaboration Suite bis zum Oracle Enterprise Manager. Unter den behobenen Problemen finden sich SQL-Injection-Lücken und Buffer Overflows, über die sich Code einschleusen oder ein Server zum Absturz bringen lässt.
Allein in Datenbank-Produkten werden 17 Schwachstellen behoben, von denen sich eine über das Netz ausnutzen lässt, um den Server zu manipulieren. Nach Angaben des Datenbanksicherheitsspezialisten Alexander Kornbrust hat Oracle es nach 1918 Tagen auch endlich geschafft, eine Lücke zu beseitigen, über die ein Angreifer durch Anfügen vieler Slashes an eine URL das Root-Verzeichnis des Webservers auflisten konnte.
Wie schon beim vorangegangen CPU enthält die Fehlerbeschreibung eine Risk Matrix nebst "Executive Summary", die die Entscheidung erleichtern soll, ob und wie schnell ein Patch installiert werden sollte.
Siehe dazu auch:
- Oracle Critical Patch Update - January 2007, Beschreibung der Updates von Oracle
- Details Oracle Critical Patch Update January 2007, Kurze Beschreibung von Alexander Kornbrust
(dab)
