VulDB: Oracle verschiedene Produkte 89 verschiedene Sicherheitslücken
Allgemein
scipID: 1363
Betroffen: Oracle verschiedene Produkte
Veröffentlicht: 13.04.2005 (Oracle)
Risiko: 
sehr kritisch
Beschreibung
Oracle ist eine vor allem im professionellen Umfeld gern eingesetzte Datenbank-Lösung. Oracle gab im Rahmen seines vierteljährlichen Critical Patch Update ein Advisory heraus, das sich 89 verschiedenen – teilweise kritischen – Sicherheitslücken annimmt. Das PDF-Dokument weist in einer Matrix die Schwachstellen aus, zeigt mitunter auch ihre Auswirkungen und Voraussetzung auf. Es ist jedoch nicht ersichtlich, welcher Kategorie (z.B. Pufferüberlauf oder Format String) die jeweiligen Fehler zugeordnet werden müssen. Von den Bugs ist der Database Server 24 mal betroffen, der Application Server 18 mal, die Collaboration Suite 34 mal, die E-Business-Suite 5 und der das Enterprise Manager Grid Control nur einmal. Erstmalig seit der Übernahme durch Oracle sind auch Produkte von Peoplesoft in der Liste mit 7 Schwachstellen aufgelistet. Technische Details oder Exploits zur Schwachstelle sind bisher nicht bekannt, könnten jedoch in den kommenden Tagen auf den einschlägigen Sicherheitsmailinglisten und -Webseiten folgen. Oracle hat entsprechend Patches für die betroffenen Produkte bereitgestellt.
Wahrhaftig eine Vielzahl an Schwachstellen, die Oracle hier vier Mal im Jahr zusammenträgt. Für Administratoren entsprechender Lösungen ist dies natürlich sodann eine stressige Zeit, in der die jüngsten Patches überprüft und eingespielt werden sollen. Gut und gerne mindestens eine Woche ist man damit beschäftigt, sich auf ein solches Patching – und wir reden hier nur von einem System – vorzubereiten. Überstunden sind deshalb die Regel. Ob dieses Patchday-Prinzip, wie es auch Microsoft seit einigen Monaten umzusetzen pflegt, wirklich so von Vorteil ist, muss nach wie vor bezweifelt werden.
Exploiting
Klasse: Unbekannt
Lokal: Ja
Remote: Teilweise
Exploit: –
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: –
Massnahme: Den freigegebenen Patch einspielen.
Link: http://www.oracle.com
Snort: –
Pattern: –
Quellen
Advisory: http://www.oracle.com/technology/deploy/security/pdf/cpuapr2005.pdf
CVE: CVE-2005-3202
OSVDB: 20052
Securityfocus: 15031
Secunia: 14935
X-Force: 22540
Securitytracker: –
VUPEN: –
Securiteam: –
Tecchannel: –
Heise: 58521
smSS: smSS 19. April 2005
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)
