Oracle kündigt 86 Patches an
Mit seinem Patch-Update am kommenden Dienstag will Oracle insgesamt 86 Lücken in seiner Software schließen. Alleine 18 finden sich in der freien, relationalen Datenbank MySQL, zwei davon lassen sich ohne Authentifizierung ausnutzen.
- Christian Kirsch
Auf seiner Website kündigt Oracle die Sicherheits-Patches an, die es am kommenden Dienstag veröffentlichen wird. Es handele sich um 86 Korrekturen, die "Hunderte von Oracle-Produkten" betreffen. Die gravierendste Lücke wird in der mobilen Datenbankvariante Oracle Database Mobile/Lite Server geschlossen, sie hat mit 10 den höchsten Wert im Common Vulnerability Scoring (CVSS).
In der freien, relationalen Datenbank MySQL will Oracle 18 Angriffspunkte verrammeln. Zwei davon haben den CVSS-Wert 9 und sollen sich ohne Authentifizierung über das Netz nutzen lassen. Damit dürfte Oracle auch die kürzlich bekanntgewordene 0-Day-Lücke in MySQL schließen – zumindest legen das die letzten Einträge im Bugzilla-Bericht bei Red Hat für diesen Fehler nahe. In den MySQL-Quellcode ist die entsprechende Korrektur mit Version 5.5.29 und 5.1.67 eingeflossen. Für den Datenbankserver Oracle 10/11 gibt es nur einen Patch, der das Modul "Spatial" betrifft. Damit bleibt die seit Langem bekannte Lücke im TNS-Listener weiterhin existieren. Oracle hatte angekündigt, sie erst mit der kommenden Version 12 schließen zu wollen.
Außerdem enthält das Critical Patch Update (CPU) unter anderem Korrekturen für Oracles Produkte Fusion, Enterprise Manager Grid Control, E-Business Suite, Supply Chain Products Suite, PeopleSoft, JD Edwards und Solaris. Details werden erst am Dienstag mit der Veröffentlichung des CPU bekanntgegeben. (ck)
