Oracle will 46 Updates herausgeben [Update]
Oracle hat für den Critical Patch Update (CPU) im Juli 46 Patches angekündigt. Mehrere Schwachstellen können Angreifer aus dem Netz ohne gültige Anmeldedaten ausnutzen.
Auf Oracle-Administratoren kommt am heutigen Dienstag wieder eine Menge Arbeit zu: Der Datenbankspezialist will mit dem Critical Patch Update (CPU) im Juli 46 Sicherheitsupdates herausgeben. Durch einige der Lücken können Angreifer ohne korrekte Zugangsdaten über das Netzwerk Zugang zu betroffenen Systemen erhalten.
Die Oracle-Datenbanken erhalten allein 20 Updates, eines davon ist für Application Express. Zwei der dadurch geschlossen Schwachstellen können Angreifer aus dem Netz ohne korrekte Anmeldedaten missbrauchen. Den Application Server versieht Oracle mit vier Updates, von den damit geschlossenen Schwachstellen lassen sich drei aus dem Netz ausnutzen. Ein Patch schließt eine Lücke in der Instant-Messaging-Komponente der Collaboration Suite. Für die E-Business-Suite stellt Oracle 14 Updates bereit, von denen sechs kritische Sicherheitslücken abdichten. Oracles PeopleSoft-Enterprise-Produkte erhalten insgesamt sieben Patches.
Wie üblich gibt Oracle eine Bewertung des Gefahrenpotenzials der Lücken mit einem CVSS-Score an. Die Sicherheitslücke mit dem größten Gefährdungspotenzial in den Datenbanken erhält etwa als Einstufung nach dem CVSS-Schema den Wert 4,2. Obwohl sich die Lücken im Application-Server aus dem Netz ausnutzen lassen, beträgt der CVSS-Score lediglich 2,3. Hintergrundinformationen zum CVSS-Schema und wie man es für die eigene Einschätzung des Gefahrenpotenzials nutzt, liefert der Artikel Magic Numbers or Snake Oil? – The Common Vulnerability Scoring System auf heise Security/UK.
Update:
Die Patches sind inzwischen verfügbar. Allerdings hat der Hersteller eines der 20 angekündigten Updates für die Oracle-Datenbanken nicht veröffentlicht, sodass insgesamt nur 45 Patches erschienen sind.
Siehe dazu auch:
- Details Oracle Critical Patch Update July 2007, Übersicht der Patches von Oracle
- Oracle Critical Patch Update Pre-Release Announcement - July 2007, Übersicht von Oracle
- Magic Numbers or Snake Oil?, Artikel zum Common Vulnerability Scoring System auf heise Security/UK
(dmk)
