Betroffen von dem aktuellen Groß-Patch sind unter anderem die Produkte "Oracle Database", "Application Server", "Enterprise Manager", "Collaboration Suite", "E-Business Suite" sowie "Peoplesoft Enterprise Portal Solutions". Allein im Bereich der Datenbank sollen durch den Fix 23 Schwachstellen behoben werden, vier Updates sind für den Datenbank-Client bestimmt.

Zehn Aktualisierungen rich- ten sich auf den Application Server, doppelt so viele sind für die E-Business-Suite gedacht. Welche Produkte und -versionen im einzelnen Sicherheitslücken enthalten, ist dem Alert auf der Oracle-Homepage zu entnehmen.

Das Critical Patch Update soll auch eine Schwachstelle beseitigen, für die im April ein Exploit auf der "Bugtraq"-Mailingliste erschienen war. Außerdem ist ein Fix für ein weiteres Problem enthalten, zu dem der Hersteller in seinem "Metalink"-Service voreilig eine Warnung publiziert hatte, jedoch kurz darauf wieder entfernte.

Nach Angaben von Amichai Shulman, Chief Technology Officer bei der Sicherheitsfirma Imperva, haben viele der Schwachstellen mit "Oracle Net" zu tun, einem proprietären Übertragungsprotokoll des Herstellers. Dieses sei bislang wenig beachtet worden, enthalte aber bestimmt noch die eine oder andere Sicherheitslücke. Das hält der Experte für besonders gefährlich, weil Bugs in diesem Bereich sich auch ohne Zugangsdaten für die Datenbank ausnutzen lassen.

Für die Behebung der Schwachstellen gibt es keine Workarounds, Anwender sollten die für sie in Frage kommenden Patches so schnell wie möglich testen und einspielen.

Oracles Patch-Politik gerät immer wieder in die Kritik (siehe hierzu auch: "Oracle hat ein Sicherheitsproblem", www.com puterwoche.de/ 572869). Erst vergangene Woche hatte eine Studie der Deutschen Oracle Anwendergruppe (Doag) bestätigt, dass die Anwender sich eine bessere Softwarequalität, weniger und dafür fehlerfreie Patches, sowie gezieltere Informationen zu den Software-Updates wünschen. Viele kommen mit dem Einspielen der Sammel-Patches gar nicht hinterher. Dabei ist Eile angesagt: Das nächste Critical Patch Update ist für den 17. Oktober angekündigt. (ave)