Oracle CPU Oktober 2007 – 14 Fehler von Red-Database-Security gefixt (updated)

Oracle hat gerade den Critical Patch Update für Oktober veröffentlicht. Es wurden insgesamt 51 Fehler in verschiedenen Produkten korrigiert. In der Datenbank werden insgesamt 27 Lücken beseitigt.

14 der Fehler wurden von Red-Database-Security gemeldet. Wie üblich sind die Fehler von den üblichen Verdächtigungen (David, Esteban, Joxean und mir). Aus Österreich hat Johannes Greil Fehler gemeldet. Johannes hatte schon 2005 Fehler in Oracle Portal gemeldet.

Oracle korrigiert insgesamt 11 Fehler im Workspace Manager, 3 in Oracle Text und 3 in Oracle Spatial. Weiterhin werden Fehler in Advanced Queueing, XMLDB, OID und ASO) korrigiert. Auch gibt es 2 Fehler in Import/Export. Der Import Fehler (von mir letztes Jahr gemeldet) ist der kritischste Fehler mit einen Rating von 6.5 (CVSS 2.0 rating) und betrifft alle Versionen von Oracle. Einige von unseren Fehler (Database Vault (DB21) und Enterprise Manager (EM01)) sind remote ohne Benutzerkennung ausnutzbar.

Die Fehler in der Datenbank (AFAIK) sind SQL Injection (Workspace Manager, Spatial), Buffer Overflows, Privilegien Eskalation.

Interessant ist auch, dass Joxean Koret zumindestens einen seiner Fehler an Tipping Point verkauft hat („Joxean Koret working with Tipping Point’s Zero Day Initiative“). Für diejenigen, die Tipping Point nicht kennen:

Tipping Point ist ein Hersteller von IDS/IPS Systemen, die Sicherheitslücken in bekannteren Produkten (Oracle, MS, SAP, …) aufkaufen und diese dann, bevor die Patches erhältlich sind, in ihr IDS/IPS integrieren. Ein großer Schutz ist jedoch nicht zu erwarten, wenn 95% der Fehler nicht entdeckt werden….

Mehr Details bald.

Leave a Reply

You must be logged in to post a comment.