Im Rahmen seines quartalsweise erscheinenden Critical Patch Update (CPU) hat Oracle diesmal allein in den Datenbankprodukten über 60 Fehler beseitigt. Erfreulich für Anwender: Der Oracle Database Client war davon nicht betroffen. Außerdem hat der Hersteller Sicherheitslücken im Application-Server, seiner E-Business-Suite sowie innerhalb der Peoplesoft- und J.D.Edwards-Produkte geschlossen.
Reaktion auf Kritik
Das aktuelle Update ist aber vor allem wegen seiner Neuerungen erwähnenswert: Oracle kommt nämlich mit seinem inzwischen zum achten Mal erscheinenden CPU der Forderung vieler Anwender und Sicherheitsspezialisten nach, bessere Informationen zu den in dem Sammel-Patch enthaltenen Aktualisierungen zu liefern. Die spärlichen Angaben hatten Oracle in der Vergangenheit zum Teil heftige Kritik eingebracht.
Im Wesentlichen gibt es drei Neuerungen: So bewertet der Hersteller ab sofort alle Schwachstellen gemäß dem Common Vulnerability Scoring System (CVSS).
Zudem kennzeichnet Oracle ab sofort diejenigen Sicherheitslücken gesondert, die aus der Entfernung ausgenutzt werden können und keine Authentisierung auf dem Zielsystem verlangen. Im aktuellen CPU beläuft sich die Zahl derartiger Schwachstellen auf 45. Schließlich finden sich nun in jedem Security-Alert des Herstellers spezielle Executive Summaries, die für jede von Aktualisierungen betroffene Produktgruppe noch einmal die zu beseitigenden Schwachstellen allgemein verständlich erklären.
Darius Wiles, Senior Manager für Oracle Security Alerts, erklärt dazu: "Kunden verlangen, dass die Sicherheitsinformationen in einem besseren Format vorliegen. Sie wollen eine objektive Bewertung, die ihnen schnell die wichtigsten Dinge zeigt." (ave)