Oracle Critical Patch Update Pre-Release Announcement - Oktober 2007
Posted by Sven Vetter on October 13th, 2007
Es ist langsam wieder so weit, am 16. Oktober erscheint das nächste CPU. Das Pre-Release Announcement gibt schon mal einige interessante Informationen:
- 51 Security-Fixes für hunderte Oracle Produkte - wow
- Oracle ändert seine Risiko-Bewertung auf CVSS 2.0 Scoring
- Bereich Datenbank:
- Der höchste CVSS-Wert ist 6.5 (4.2 für das alte CVSS 1.0 scoring) - entspricht also einem recht hohem Risiko
- 27 Security-Löcher wurden behoben, davon sind 5 remote ohne Authentisierung ausnutzbar!
- Für OAS ist der höchste CVSS-Wert 6.8 (7.0 für das alte CVSS 1.0 scoring), also ein sehr hoher Wert
- Database Vault ist erwähnt, schauen wir mal, ob unsere gemeldeten Löcher geschlossen wurden...
- Oracle Database 11g hat noch keine Fixes
Wir werden dieses CPU wieder testen und berichten...
October 29th, 2007 at 07:40
Noch eine Ergänzung dazu:
Oracle erklärt in diesem Metalink-Artikel, wie welche Werte berechnet oder gesetzt werden.
November 2nd, 2007 at 14:31
Und noch ein lohnenswerter Artikel dazu, im The Oracle Global Product Security Blog.