100 Lücken weniger nach Oracle-Patchday
An Oracles Oktober-Patchday geht es mal wieder rund: 100 Sicherheitslücken stopft der Datenbankprimus mit den Updates.
Oracles turnusmäßiger Quartals-Patchday hat es wieder in sich. Der Datenbankhersteller schließt insgesamt 100 Sicherheitslücken in den zahlreichen Produkten. Für Administratoren erfreulich: Die angekündigten Executive Summeries liefern kurze Zusammenfassungen über das Gefahrenpotenzial der geschlossenen Sicherheitslücken. David Litchfield mosert unterdessen, dass Oracle wieder nicht alle Patches für alle Plattformen rechtzeitig fertig gestellt hat.
Insgesamt schließt Oracle 63 Lücken in den Datenbanken, 14 im Application Server, 13 in der E-Business-Suite, acht in den PeopleTools und den PeopleSoft Enterprise Portal Solutions sowie jeweils eine in JD Edwards EnterpriseOne und in Oracle Pharmaceutical Applications. Davon können Angreifer ohne Authentifizierung über das Netz 30 Lücken in den Datenbanken, 13 im Application Server, jeweils eine in der E-Business-Suite und in den PeopleSoft-Produkten missbrauchen.
Die neu aufbereitete Zusammenfassung von Oracle ist ein Schritt in die richtige Richtung, auch wenn sich einige Administratoren mehr davon erhofft haben. Es lässt sich nun schnell ablesen, wie kritisch die geschlossenen Lücken sind und welche Patches daher unbedingt eingespielt werden müssen. Da Angreifer zahlreiche Lücken aus dem Netz und ohne Anmeldung ausnutzen können, sollten Oracle-Administratoren die Updates möglichst bald installieren.
Siehe dazu auch: (dmk)
- Oracle Critical Patch Update - October 2006, Zusammenfassung und Übersicht zu den Updates von Oracle
- Analysis of the October 2006 Critical Patch Update for the Oracle RDBMS (PDF) von David Litchfield