Oracle patcht eigene und geerbte Lecks

Der Softwarekonzern Oracle hat seinen Patch Day weidlich genutzt: Insgesamt müssen die Administratoren verschiedener Softwarelösungen rund 90 Fixes oder Updates aufspielen. Die Lecks, die Oracle dabei stopfen lassen will, betreffen nicht nur die Datenbanksoftware, sondern die meisten Produktgruppen, die der kalifornische Konzern anbietet.

Wie es in dem Alert heißt, werden mit den angebotenen Werkzeugen nicht nur Löcher gestopft, der Konzern liefert auch Software für nichtbetroffene Abschnitte der Anwendungen. Diese müssen aber aufgrund gegenseitiger Abhängigkeiten in der Softwarelandschaft aufgespielt werden, da sonst die Security-Updates nicht korrekt funktionieren, was wieder zu Problemen führen kann.

Konkret geht es um verschiedene Versionen von ‘Database Server’, ‘Application Server’, ‘Collaboration Suite’, ‘E-Business Suite’ und zugehörige Applikationen, ‘Enterprise Manager’ und auch um insgesamt sechs Löcher in zugekauften Enterprise-Produkten von Peoplesoft und J.D. Edwards. Die aufgelisteten Patch-Empfehlungen enthalten dabei keinerlei Priorisierungen nach dem Grad ihrer Gefährlichkeit; die Nutzer müssen also, sofern sie eine aufgelistete Software einsetzen, alles beachten. Das wird kritisiert.

Es geschah aber offenbar auf Anweisung von Oracles Chief Security Officer Mary Ann Davidson – die Managerin hatte wiederholt darauf hingewiesen, dass solche genauen Angaben, wie sie andere Softwarehersteller bieten, den Angreifern mehr helfen als den Kunden.