Oracle hat heute das Announcement für das aktuelle Critical Patch Update veröffentlicht, welches 24 Sicherheitslücken in “hunderten” von Oracle Produkten behebt. Von Oracle Database sind konkret die folgenden Versionen betroffen:

  • Oracle Database 11g, version 11.1.0.7
  • Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4
  • Oracle Database 10g, version 10.1.0.5
  • Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV

Die Schwachstellen wurden nach dem CVSS 2.0 bewertet, ihr höchster Wert für Oracle Database ist 10,0 für alle Plattformen. Betroffen sind in Oracle Database diesmal die folgenden Teile:

  • Application Express Application Builder
  • Core RDBMS
  • Listener
  • Oracle Data Pump
  • Oracle OLAP
  • Oracle Secure Backup
  • Oracle Spatial
  • Oracle Universal Installer

Das Update beinhaltet Fixes für 10 Schwachstellen in Oracle Database, eine davon wurde in Oracle Secure Backup geschlossen. Davon sind 2 von entfernten Rechnern ohne Authentifizierung auszunutzen, benötigen also keinen gültigen Nutzerzugang. Keiner der Fixes ist für Client-Installationenm bei denen keinen Datenbank installiert wurde, nötig.

Das gesamte Announcement ist hier zu finden.