Gestern abend hat Oracle seinen vierteljährlichen [1] CPU veröffentlicht. Darin werden 41  Fehler in den verschiedenen Datenbank-Produkten korrigiert. Auch diesmal sind wieder die üblichen Verdächtigen (Stephen Kost, Cesar Cerrudo, Esteban Fayo, Alexander Kornbrust) mit dabei. Ausserdem hat Paul Wright 2 PL/SQL Injection Lücken gefunden (siehe sein [2] Blog Eintrag).

Von diesen 41 Fehlern betreffen 15 Fehler die Datenbank, wovon einer [DB08] remote ohne Benutzerkennung (betrifft aber nur 11g Rel. 1) ausnutzbar ist.

2 Fehler betreffen Oracle APEX, wovon 1 Fehler remote ausnutzbar ist. Beim zweiten Fehler handelt es sich um eine SQL Injection Lücke im Package wwv_execute_immediate.

Von Red-Database-Security wurden insgesamt 6 Fehler korrigert. Darunter sind 3 SQL Injection Lücken in [3] SDO_UTIL [DB05], [4] SDO_GEOM [DB06]  und [5] SDO_IDX [DB07] und diese betreffen zum Teil alle supporteten Versionen von 9i Rel. 1 bis  11g Rel. 1 . Diese 3 Packages gehören zur Komponente Oracle Spatial.

Weiterhin gibt es bis einschliesslich Oracle 10.2.0.3 ein hardcodiertes [6] OUTLN Passwort [DB13], das beim Erzeugen spezieller materialized View von Oracle automatisch auf OUTLN zurückgesetzt wird.

Auch für die inzwischen hoffentlich altbekante View Problematik ([7] Update via View bzw. [8] Update via Inline-View) werden Patches [DB10] zur Verfügung gestellt.

Falls Sie weitergehenden Bedarf an Informationen (betroffene Funktionen/Prozeduren, Patching, Workarounds, …) zu diesem Oracle April 2008 CPU benötigen, können wir Ihnen mit dem [9] Opitz CPU Review helfen, das wir exklusiv für Opitz Consulting erstellen.