Auch Oracle kündigt Patches jetzt vorher an

12.01.2007
Oracle hat sich entschieden, seine Anwender künftig vorab über zu erwartende Patches zu informieren, damit sich die Administratoren schon einmal darauf einstellen können, was sie erwartet.

Dabei folgt der Softwarekonzern dem Vorbild Microsofts, das schon seit einiger Zeit jeweils Ende der Woche vor seinem allmonatlichen "Patch Tuesday" eine solche Vorwarnung ausgibt.

Oracle hat gestern sein erstes Critical Patch Update Pre-Release Announcement veröffentlicht. Nachdem dem Hersteller in der Vergangenheit ein allzu chaotischer Umgang mit Sicherheitslücken vorgeworfen wurde, bemüht er sich seit einiger Zeit um Besserung. Patches gibt es nun quartalsweise im Paket. Seit Oktober 2006 stuft Oracle die Korrekturen zudem nach CVSS (Common Vulnerability Scoring System) ein, das beispielsweise auch Cisco nutzt.

Das für Januar anstehende Update hat ein CVSS-Rating von 7.0 erhalten. Theoretischer Höchstwert ist 10. Für Oracle stellt die 7.0 aber den höchstmöglichen Wert da, weil Fehler in seiner Software grundsätzlich nicht das unterliegende Betriebssystem betreffen. "Ich würde Nutzern der betroffenen System in jedem Fall raten, die Patches einzuspielen", erklärte Darius Wiles, Senior Manager of Oracle Security Alerts.

Das Quartalsupdate enthält insgesamt 52 Korrekturen für Oracles Datenbank, Application Server, Enterprise Manager, Identity Management, E-Business-Suite, Developer Suite sowie die Peoplesoft Enterprise People Tools. Über die Hälfte der Patches (27) entfallen auf das RDBMS (Relational Database Management System) des Herstellers aus Redwood Shores, Kalifornien. (tc)