Im Rahmen seines quartalsweise erscheinenden Critical Patch Update (CPU) beseitigt Oracle diesmal allein in den Datenbankprodukten über 60 Fehler. Erfreulich für Anwender: Der Oracle Database Client ist davon nicht betroffen. Außerdem beseitigt der Hersteller Sicherheitslücken im Application-Server, seiner E-Business-Suite sowie innerhalb der Peoplesoft- und J.D.Edwards-Produkte.

Das aktuelle Update ist aber vor allem wegen seiner Neuerungen erwähnenswert: Oracle kommt nämlich mit seinem inzwischen zum achten Mal erscheinenden CPU der Forderung vieler Anwender und Sicherheitsspezialisten nach, bessere Informationen zu den in dem Sammel-Patch enthaltenen Aktualisierungen zu liefern. Die spärlichen Angaben hatten Oracle in der Vergangenheit zum Teil heftige Kritik eingebracht.

Im Wesentlichen gibt es drei Neuerungen: So bewertet der Hersteller ab sofort alle Schwachstellen gemäß dem Common Vulnerability Scoring System (CVSS). Dieser Standard wird auch von Anbietern wie Cisco oder IBM unterstützt und soll Anwendern dabei helfen, Schwachstellen und die von diesen ausgehende Bedrohung besser einzuschätzen.

Zudem kennzeichnet Oracle ab sofort diejenigen Sicherheitslücken gesondert, die aus der Entfernung ausgenutzt werden können und keine Authentisierung auf dem Zielsystem verlangen. Im aktuellen CPU beläuft sich die Zahl derartiger Schwachstellen auf 45. Schließlich finden sich nun in jedem Security-Alert des Herstellers spezielle Executive Summaries, die für jede von Aktualisierungen betroffene Produktgruppe noch einmal die zu beseitigenden Schwachstellen zusammenfassen und allgemein verständlich erklären. (ave)