Oracle stopft 23 kritische Löcher

Mit einem ‘Ciritical Patch Update’ stopft der Datenbankspezialist Oracle 23 Sicherheitslecks in einer Vielzahl seiner Produkte. Die Patches schließen bisher unbekannte Sicherheitslücken, durch die Anwendern beispielsweise Datenmanipulation oder Denial-of-Service-Attacken drohen. Das Critical Patch Update ist die erste Software dieser Art, seitdem Oracle im Herbst vergangenen Jahres angekündigt hatte, einen vierteljährlichen Patch-Zyklus einzuführen.
Die Sicherheitslücken betreffen Anwender der Produkte Database 10g Release 1, 9i Database Server, Application Server, 9i Application Server, Collaboration Suite und E-Business Suite. In einem Advisory veröffentlichte Oracle auch technische Details der Schwachstellen. Wie es weiter heißt, habe man auch nicht-sicherheitsbezogene Fixes veröffentlicht, die aber für das Aufspielen der Security-Patches nötig seien.

Secunia stuft die Löcher als “mäßig kritisch” ein, warnte aber gleichzeitig vor möglichen PL/SQL-Attacken. Oracle selbst äußerte sich nicht über mögliche Angriffs-Szenarien. Das Unternehmen Next Generation Security Software, das die Löcher gemeldet hatte, sagte, man werde erst ab dem 18. April Details über die Lücken berichten. “Ein dreimonatiges Zeitfenster gibt den Administratoren von Oracle-Datenbanken die Zeit, die sie brauchen, um den Patch zu testen und aufzuspielen, bevor die Details der Öffentlichkeit zugänglich gemacht werden.”