Oracle Critical Patch Update - CPU April 2008

Gestern abend hat Oracle seinen vierteljährlichen CPU veröffentlicht. Darin werden 41  Fehler in den verschiedenen Datenbank-Produkten korrigiert. Auch diesmal sind wieder die üblichen Verdächtigen (Stephen Kost, Cesar Cerrudo, Esteban Fayo, Alexander Kornbrust) mit dabei. Ausserdem hat Paul Wright 2 PL/SQL Injection Lücken gefunden (siehe sein Blog Eintrag).

Von diesen 41 Fehlern betreffen 15 Fehler die Datenbank, wovon einer [DB08] remote ohne Benutzerkennung (betrifft aber nur 11g Rel. 1) ausnutzbar ist.

2 Fehler betreffen Oracle APEX, wovon 1 Fehler remote ausnutzbar ist. Beim zweiten Fehler handelt es sich um eine SQL Injection Lücke im Package wwv_execute_immediate.

Von Red-Database-Security wurden insgesamt 6 Fehler korrigert. Darunter sind 3 SQL Injection Lücken in SDO_UTIL [DB05], SDO_GEOM [DB06]  und SDO_IDX [DB07] und diese betreffen zum Teil alle supporteten Versionen von 9i Rel. 1 bis  11g Rel. 1 . Diese 3 Packages gehören zur Komponente Oracle Spatial.

Weiterhin gibt es bis einschliesslich Oracle 10.2.0.3 ein hardcodiertes OUTLN Passwort [DB13], das beim Erzeugen spezieller materialized View von Oracle automatisch auf OUTLN zurückgesetzt wird.

Auch für die inzwischen hoffentlich altbekante View Problematik (Update via View bzw. Update via Inline-View) werden Patches [DB10] zur Verfügung gestellt.

Falls Sie weitergehenden Bedarf an Informationen (betroffene Funktionen/Prozeduren, Patching, Workarounds, …) zu diesem Oracle April 2008 CPU benötigen, können wir Ihnen mit dem Opitz CPU Review helfen, das wir exklusiv für Opitz Consulting erstellen.

Dieser Eintrag wurde am 16 Apr 2008 um 09:18 verfasst und befindet sich in CPUApr2008. Sie können alle Antworten zu diesem Eintrag über den Feed RSS 2.0 mitverfolgen. Hinterlassen Sie eine Antwort oder einen Trackback-Link zu Ihrer eigenen Homepage.

| Drucken