Oracle knackt die 100-Patches-Marke

EnterpriseSicherheit

101 ist eigentlich eine schöne Zahl: Da gibt es den Film ‘101 Damatiner’ und eine CD von Depeche Mode heißt auch so. Bei Oracle allerdings beschreibt 101 die Anzahl der Schwachstellen, die der Hersteller beim aktuellen Patch-Paket ausbessern muss.

63 Probleme tauchen im Zusammenhang mit DB-Produkten (Datenbank) auf, 14 Fehler betreffen ‘Application Server’, 13 die E-Business-Suite, 8 kommen von Peoplesoft-Produkten dazu und je einer in Oracle Pharmaceuticals und der JDE-Software. Die gute Nachricht zuerst: Zusammengezählt sind es bloß 100 Lücken, Oracle gibt bei seinem ‘Oracle Critical Patch Update – October 2006’ offenbar einen zuviel an.

Nichtsdestotrotz sind einige ernstzunehmende Löcher dabei. Allein 30 der Datenbanklücken lassen nicht-autorisierte Nutzer oder Anwendungen in die Systeme hinein. 35 der insgesamt 63 DB-Schwachstellen betreffen ‘Oracle Application Express’. Das Programm kann optional installiert werden und betreffe daher nur wenige Anwender, heißt es.

Als ob Oracle gewusst hätte, dass beim aktuellen, turnusmäßigen Patchday eine ganze Masse an Pflaster aufgeklebt werden müssen, hatte der Hersteller vor einer Woche bekannt gegeben, seine Patches künftig nach dem ‘Common Vulnerability Scoring System’ (CVSS) bewerten und so sortiert abwickeln zu wollen.