Oracle Critical Patch Update Pre-Release Announcement - Januar 2008
Posted by Sven Vetter on January 11th, 2008
Es ist wieder so weit: Die Vorbereitungen für das CPU können starten.
Die ersten Informationen von Oracle sind hier verfügbar.
Ein paar Details dazu:
- Dies ist das erste CPU, welches auch Fixes für Oracle 11g beinhaltet
- Für Oracle 10g Database Vault finde ich keine Informationen, also scheinen unsere Security-Findings nicht behoben zu sein
- Für die Oracle Datenbank gibt es 8 neue Security Fixes, von denen keiner remote ohne Authentication ausnutzbar ist
Mit einem CVSS-Score von 6.5 ist das Risiko aber sehr hoch - Für den Application Server gibt es 6 neue Security Fixes.
Mit einem CVSS-Score von 9.3 für Clients und 6.8 für Server ist das Risiko hier sehr hoch
Probleme können Anwender von Oracle-Versionen bekommen, die nicht das aktuelle Patchset einsetzen. So wird z.B. für Oracle Database 10.2.0.2 für Windows und Solaris kein Patch erscheinen oder dieser speziell angefordert werden müssen.
Siehe dazu das Kapitel "Planned Patches for Next CPU Release" im README des Oktober-CPUs.
Wie immer - wir werden das CPU testen und darüber berichten.
January 13th, 2008 at 12:58
Critical Patch Update January 2008 Pre-Release Announcement
Das Oracle Critical Patch Update Pre-Release Announcement - January 2008 ist da, und alle Experten schreiben dasselbe:
Zum ersten Mal mit 11g Patches
Nur 8 DB Patches, kein Remote Exploit
Aber einer davon kritisch (CVSS 2 Rating von 6.5)
Die Experten…