Gestern abend hat Oracle seinen vierteljährlichen CPU veröffentlicht. Darin werden 41 Fehler in den verschiedenen Datenbank-Produkten korrigiert. Auch diesmal sind wieder die üblichen Verdächtigen (Stephen Kost, Cesar Cerrudo, Esteban Fayo, Alexander Kornbrust) mit dabei. Ausserdem hat Paul Wright 2 PL/SQL Injection Lücken gefunden (siehe sein Blog Eintrag).
Von diesen 41 Fehlern betreffen 15 Fehler die Datenbank, wovon einer [DB08] remote ohne Benutzerkennung (betrifft aber nur 11g Rel. 1) ausnutzbar ist.
2 Fehler betreffen Oracle APEX, wovon 1 Fehler remote ausnutzbar ist. Beim zweiten Fehler handelt es sich um eine SQL Injection Lücke im Package wwv_execute_immediate.
Von Red-Database-Security wurden insgesamt 6 Fehler korrigert. Darunter sind 3 SQL Injection Lücken in SDO_UTIL [DB05], SDO_GEOM [DB06] und SDO_IDX [DB07] und diese betreffen zum Teil alle supporteten Versionen von 9i Rel. 1 bis 11g Rel. 1 . Diese 3 Packages gehören zur Komponente Oracle Spatial.
Weiterhin gibt es bis einschliesslich Oracle 10.2.0.3 ein hardcodiertes OUTLN Passwort [DB13], das beim Erzeugen spezieller materialized View von Oracle automatisch auf OUTLN zurückgesetzt wird.
Auch für die inzwischen hoffentlich altbekante View Problematik (Update via View bzw. Update via Inline-View) werden Patches [DB10] zur Verfügung gestellt.
Falls Sie weitergehenden Bedarf an Informationen (betroffene Funktionen/Prozeduren, Patching, Workarounds, …) zu diesem Oracle April 2008 CPU benötigen, können wir Ihnen mit dem Opitz CPU Review helfen, das wir exklusiv für Opitz Consulting erstellen.