Sicherheits-Update von Oracle – für die Katz?
Oracle läutet 2008 mit einem Critical Patch Update (CPU) ein, das 26 Lücken in mehreren Produkten schließen soll. Einer Umfrage zufolge sollen aber zwei Drittel der Administratoren noch nie eines der bisher herausgegebenen CPUs installiert haben.
- Daniel Bachfeld
Oracle läutet das neue Jahr mit einem Critical Patch Update (CPU) ein, das wieder einmal zahlreiche Lücken in mehreren Produkten des Herstellers schließen soll. Mit insgesamt nur 26 Fixes lässt es der Hersteller diesmal aber ruhig angehen. Acht Patches widmen sich verschiedenen Datenbankversionen, wobei sich laut Oracle keine der zu schließenden Lücken aus der Ferne ohne Authentifizierung ausnutzen lassen soll. Dazu gehören unter anderem SQL-Injection-Lücken. Anders sieht dies beim Oracle Application Server aus, bei dem ein Angreifer durch fünf der sechs Lücken ohne Authentifizierung Schindluder treiben kann. Zwei der Lücken haben ein CVSS-Score von 9.3 (in einer Skala von 1 bis 10), womit sie als kritisch einzustufen sind.
In Oracle E-Business Suite and Applications hat der Hersteller sieben Schwachstellen beseitigt. Dort eignen sich immerhin noch drei, um über ein Netzwerk ohne Authentifizierung die Fehler auszunutzen. Was genau sie ermöglichen, schreibt Oracle allerdings nicht. Bei einem maximalen CVSS-Score von 5.5 sind sie ohnehin nicht ganz so kritisch. Schließlich gibt es noch vier Fixes für Oracle PeopleSoft Enterprise und JD Edwards EnterpriseOne. Weitere Details sind dem Original-Bericht des Herstellers zu entnehmen.
Ob der Bericht und die Updates überhaupt richtig wahrgenommen werden, scheint nach einer Umfrage des Dienstleisters für Datenbanksicherheit Sentrigo sehr fraglich. Auf die Frage, ob sie jemals einen CPU installiert hätten, sollen zwei Drittel der befragten Datenbankadministratoren, Entwickler und Consultants mit "Nein" geantwortet haben. Nur zehn Prozent hätten angegeben, die aktuellen Patches von Oracle eingespielt zu haben.
Die Ergebnisse decken sich mit den Erfahrungen anderer Spezialisten für Datenbanksicherheit, wie Red Database Security. Über die genauen Gründe für die Patch-Abstinenz macht Sentrigo keine Angaben. Allerdings vermutet der Dienstleister, dass die Hürden der fehlerfreien Installation der Patches und der erforderlichen Wartungsfenster die Administratoren abschreckt.
Siehe dazu auch:
- Oracle Critical Patch Update Advisory - January 2008, Fehlerbericht von Oracle
- Survey of Oracle Database Professionals Reveals Most Do Not Apply Security Patches, Pressemitteilung von Sentrigo
(dab)
