Oracle soll bei Patch-Rating schummeln

Nach heftiger Kritik der Anwender hat Oracle inzwischen eine Bewertung für seine Patches eingeführt – doch mehrere Sicherheitsforscher werfen dem Konzern jetzt vor, bei der Punktevergabe nicht sauber zu arbeiten.

Der Vorwurf kommt von Security-Experten, die in den vergangenen Monaten diverse Sicherheitslücken an Oracle gemeldet hatten, damit diese beim jüngsten Patchday Anfang Oktober gestopft werden können. Mit der Einstufung der Patches, die Anwendern die Arbeit erleichtern soll, sind die Forscher jedoch alles andere als zufrieden.

So heißt es, die CVSS-Punkte (Common Vulnerability Scoring System) die der Datenbankspezialist vergibt, seien zu gering angesetzt. “Ich habe keinen Zweifel daran, dass Oracle den Ernst der Sicherheitslücken herunterspielt”, sagte beispielsweise Esteban Martinez Fayo vom Sicherheitshersteller Application Security.

Ähnlich äußerte sich auch David Litchfield von der britischen Firma Next Generation Security. Nach seiner Meinung hätten mehrere der 22 Löcher in Oracles Datenbanken mehr Punkte bekommen müssen als tatsächlich geschehen. Oracle hat das Rating der Sicherheitslücken nach eigenen Angaben auf Wunsch vieler Anwender eingeführt. Neu sind auch Informationen darüber, ob eine Sicherheitslücke per Fernzugriff ausgenutzt werden kann, ob dafür eine Authentifizierung notwendig ist und wie schwierig es generell ist, das Loch auszunutzen.