Oracle sortiert seine Patches

An dem nächsten Patchday am kommenden Dienstag, den 17. Oktober, wird Oracle deshalb die Lücke nach dem ‘Common Vulnerability Scoring System’ (CVSS) bewerten. Das System soll die Einstufung von Sicherheitslücken standardisieren und wird unter anderem von Cisco und IBM unterstützt.

“Anstatt ein eigenes Schema zu entwickeln, haben wir uns entschieden, auf etwas zurückzugreifen, was es bereits gibt”, sagte Darius Wiles, Senior Manager für Oracle Security Alerts. “Jede Lücke wird eine CVSS-Bewertung erhalten und an der Spitze der Tabelle werden die besonders kritischen Löcher gelistet.”

Zusätzlich wird Oracle ein ‘Executive Summary’ zur Verfügung stellen und eine Liste der Löcher, die von Hackern ausgenutzt werden können, auch ohne das Passwort für einen Oracle-Server zu besitzen. “Die Anwender wollen die Informationen inzwischen in einem besseren Format. Sie fordern eine möglichst objektive Bewertung, um einschätzen zu können, welches Problem am dringendsten ist”, so Wiles.

Bisher war es eine oft frustrierende Aufgabe, sich durch Oracles Sicherheits-Updates zu arbeiten. So hatte der Konzern beispielsweise im Juli 65 Sicherheits-Patches veröffentlicht – um das Risiko jeder einzelnen Lücke einzuschätzen, war es nötig, die Daten einer so genannten ‘Risk Matrix’ zu interpretieren, die aus drei verschiedenen Risikokategorien bestand. Für dieses Verfahren hatte es immer wieder Kritik gehagelt.