Skip to content
 

Oracle Critical Patch Update Pre-Release Announcement – Januar 2008

Es ist wieder so weit: Die Vorbereitungen für das CPU können starten.

Die ersten Informationen von Oracle sind hier verfügbar.

Ein paar Details dazu:

  • Dies ist das erste CPU, welches auch Fixes für Oracle 11g beinhaltet
  • Für Oracle 10g Database Vault finde ich keine Informationen, also scheinen unsere Security-Findings nicht behoben zu sein :-(
  • Für die Oracle Datenbank gibt es 8 neue Security Fixes, von denen keiner remote ohne Authentication ausnutzbar ist
    Mit einem CVSS-Score von 6.5 ist das Risiko aber sehr hoch
  • Für den Application Server gibt es 6 neue Security Fixes.
    Mit einem CVSS-Score von 9.3 für Clients und 6.8 für Server ist das Risiko hier sehr hoch

Probleme können Anwender von Oracle-Versionen bekommen, die nicht das aktuelle Patchset einsetzen. So wird z.B. für Oracle Database 10.2.0.2 für Windows und Solaris kein Patch erscheinen oder dieser speziell angefordert werden müssen.
Siehe dazu das Kapitel “Planned Patches for Next CPU Release” im README des Oktober-CPUs.

Wie immer – wir werden das CPU testen und darüber berichten.

One Comment

  1. Critical Patch Update January 2008 Pre-Release Announcement

    Das Oracle Critical Patch Update Pre-Release Announcement – January 2008 ist da, und alle Experten schreiben dasselbe:

    Zum ersten Mal mit 11g Patches
    Nur 8 DB Patches, kein Remote Exploit
    Aber einer davon kritisch (CVSS 2 Rating von 6.5)

    Die Experten…

Leave a Reply