Oracle kündigt 86 Patches an

Auf seiner Website kündigt Oracle die Sicherheits-Patches an, die es am kommenden Dienstag veröffentlichen wird. Es handele sich um 86 Korrekturen, die "Hunderte von Oracle-Produkten" betreffen. Die gravierendste Lücke wird in der mobilen Datenbankvariante Oracle Database Mobile/Lite Server geschlossen, sie hat mit 10 den höchsten Wert im Common Vulnerability Scoring (CVSS).

In der freien, relationalen Datenbank MySQL will Oracle 18 Angriffspunkte verrammeln. Zwei davon haben den CVSS-Wert 9 und sollen sich ohne Authentifizierung über das Netz nutzen lassen. Damit dürfte Oracle auch die kürzlich bekanntgewordene 0-Day-Lücke in MySQL schließen – zumindest legen das die letzten Einträge im Bugzilla-Bericht bei Red Hat für diesen Fehler nahe. In den MySQL-Quellcode ist die entsprechende Korrektur mit Version 5.5.29 und 5.1.67 eingeflossen. Für den Datenbankserver Oracle 10/11 gibt es nur einen Patch, der das Modul "Spatial" betrifft. Damit bleibt die seit Langem bekannte Lücke im TNS-Listener weiterhin existieren. Oracle hatte angekündigt, sie erst mit der kommenden Version 12 schließen zu wollen.

Außerdem enthält das Critical Patch Update (CPU) unter anderem Korrekturen für Oracles Produkte Fusion, Enterprise Manager Grid Control, E-Business Suite, Supply Chain Products Suite, PeopleSoft, JD Edwards und Solaris. Details werden erst am Dienstag mit der Veröffentlichung des CPU bekanntgegeben. (ck)