Oracle liefert 45 Patches aus

Der Datenbankhersteller Oracle hat 45 Sicherheitslücken geschlossen. Das Critical Patch Update ist das erste seit dem Zukauf des Softwareanbieters BEA. Auch für dessen Produkte wurden Patches bereit gestellt.

Das Juli-Update umfasst vier Patches mehr als das letzte Update vom April 2008. Mit diesem Update hat sich Oracle erstmals nach dem Standard Common Vulnerabilities Exposure (CVE) gerichtet.

CVE wird von verschiedenen Herstellern wie Microsoft und Mozilla verwendet und soll die Einstufung von Sicherheitsrisiken international vergleichbar machen. Auch die neuste Datenbankversion von Oracle, Oracle 11g, soll einen Patch nötig haben. Eric Maurice, Manager Security in der Global Technology Business Unit von Oracle, erklärte, dass Oracle mit dem Juli-Update dauerhaft auf CVE umgestiegen sei.

Das habe mit Oracles neuer Rolle als ‘Candidate Naming Authority’ für den Standard CVE zu tun. Das heißt, dass Oracle den gefundenen Lücken selbst einen CVE-Wert zuweisen kann und nicht auf die Bewertung einer Lücke durch eine Drittpartei warten muss. Die ausgelieferten Patches schließen nach den Angaben zumindest bei Oracles eigenen Produkten keine Lücken, die remote und ohne Passwort und Identifizierung auszunutzen sind.

Allerdings sind einige der Patches für BEAs Produkte geschrieben worden, die durchaus gefährlicher sind und ohne das Update remote ausgenutzt werden könnten. Unter den sieben BEA-Patches sind angeblich vier Patches für Lücken, die remote angreifbar sein können.