Oracle gibt Patches jetzt im Vorfeld bekannt

Nun will auch Oracle Anwender der Business-Software frühzeitig über anstehende Sicherheits-Updates informieren. Microsoft verfolgt diese Strategie unter dem Portal Advanced Notification seit Ende 2004.

Nun sollen auch Administratoren sich auf bevorstehende Sicherheitsaktualisierungen über eine Veröffentlichung im Vorfeld informieren  können. Wie Microsoft bietet auch Oracle die Patches in einem vorgegebenen Rhythmus an. Seit 2005 veröffentlicht Oracle alle drei Monate einen Packen mit Fehlerbehebungen.

“Unsere Anwender haben uns darum gebeten”, erklärte Darius Wiles, Senior Manager für Sicherheitswarnungen bei Oracle, gegenüber Cnet. “Sie wollen in etwa wissen, was kommt, damit sie entsprechend Personal abstellen können, um die Patches einzuspielen.”

Oracle wird am kommenden Dienstag, den 16. Januar, insgesamt 52 Sicherheitslecks beheben und das über die gesamte Produktpalette hinweg. Einige dieser Patches können auch mehrere Produkte betreffen, teilte der Hersteller mit. Darunter sind auch einige schwerwiegende Fehler, die dazu ausgenutzt werden können, um Schad-Code auszuführen, oder das System zum Absturz zu bringen.

Für Datenbanken werden es diesmal 27 Patches sein, zehn davon können über das Internet ohne vorherige Authentisierung ausgeführt werden. 14 Fehler schließt der Herstelle in der Collaboration Suite, hier sind 11 Lecks remote auszunutzen. Im Application Server werden zwölf Lecks geschlossen, davon sind wiederum 8 über ein Netzwerk ausführbar. Sieben Patches kommen zudem für die E-Business Suite, für den Enterprise Manager sind es sechs. In der PeopleSoft-Suite werden drei Fehler behoben. Ebenso soll in der Oracle Developter-Suite ein Leck geschlossen werden, teilte Oracle vorab mit.

Weil manche Anwender von bestimmten Patches nicht betroffen sind, weil sie schlicht das Produkt oder eine Komponente nicht lizenziert haben, gibt Oracle, anders als Microsoft, detaillierte Informationen über die betroffenen Programme, Versionen, Komponenten und die Gewichtung der Fehler.

Daneben gibt der Softwarehersteller Oracle auch die Zahl der Lücken bekannt. Microsoft gibt im Vorfeld nur die Produktfamilie bekannt. Beispielsweise Office oder Windows. Microsoft hofft so, Hackern im Vorfeld nicht zu viele nützliche Details an die Hand zu geben.

Beim letzten Patchday im Oktober hat Oracle zum ersten Mal im Vorfeld bekannt gegeben, wie schwer die Fehler sind und welche Produktgruppen gefährdet sind. Offenbar stießen diese Vorabmeldungen auf  das Wohlwollen der Anwender.