Oracle hat heute das Announcement für das aktuelle Critical Patch Update veröffentlicht , welches 24 Sicherheitslücken in “hunderten” von Oracle Produkten behebt. Von Oracle Database sind konkret die folgenden Versionen betroffen:

  • Oracle Database 11g, version 11.1.0.7
  • Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4
  • Oracle Database 10g, version 10.1.0.5
  • Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV

Die Schwachstellen wurden nach dem CVSS 2.0 bewertet , ihr höchster Wert für Oracle Database ist 10,0 für alle Plattformen. Betroffen sind in Oracle Database diesmal die folgenden Teile:

  • Application Express Application Builder
  • Core RDBMS
  • Listener
  • Oracle Data Pump
  • Oracle OLAP
  • Oracle Secure Backup
  • Oracle Spatial
  • Oracle Universal Installer

Das Update beinhaltet Fixes für 10 Schwachstellen in Oracle Database, eine davon wurde in Oracle Secure Backup geschlossen. Davon sind 2 von entfernten Rechnern ohne Authentifizierung auszunutzen, benötigen also keinen gültigen Nutzerzugang. Keiner der Fixes ist für Client-Installationenm bei denen keinen Datenbank installiert wurde, nötig.

Das gesamte Announcement ist hier  zu finden.