Das Risikopotenzial der Schwachstellen gibt Oracle im CPU (Critical Patch Update) mit dem CVSS 2.0 Base Score (Common Vulnerability Scoring System) an.
Mit einem CVSS 2.0 Base Score von 10 erhält eine Lücke in der Fusion Middleware die höchste Risikoeinstufung. In dieser Produktgruppe stopft Oracle 11 Lücken, wovon neun ohne Anmeldung über ein Netzwerk ausnutzbar sind.
Der Datenbank-Server und seine Komponenten sind von sechs Schwachstellen betroffen. Bei drei von ihnen ist ein Angriff über das Netzwerk ohne Authentifizierung möglich. Der höchste CVSS-Wert in dieser Gruppe ist 9.0. Für den Oracle Enterprise Manager Grid Contol stellt Oracle sechs Aktualisierungen zur Verfügung. Vier Sicherheitslücken werden als kritisch eingestuft.
Die Produktgruppen E-Business Suite und Supply Chain Products Suite enthalten je vier Schwachstellen, die einen unautorisierten Zugriff ohne Benutzernamen und Passwort ermöglichen. Sie erreichen jedoch nur CVSS-Werte in Höhe von 6.4 sowie 7.5. Für die PeopleSoft-Produkte sind 15 Updates vorgesehen. Allerdings ermöglichen nur zwei Schwachstellen Angreifern, Code ohne Authentifizierung über das Netzwerk einzuschleusen.
Während Oracle für die Industry Applications zwei unkritische Updates zur Verfügung stellt, schließt das Unternehmen in Primavera eine einzige Lücke mit einem CVSS-Wert von 4.3, die ohne Weiteres aus der Ferne ausnutzbar ist.
Bei den Oracle Financial Services sollen 17 Lücken gestopft werden. Jedoch ist nur eine der Schwachstellen als kritisch anzusehen. Anders sieht es bei den Sun-Produkten aus: Oracle will da 15 Lücken beseitigen, deren höchster CVSS-Wert 9.0 beträgt. Fünf dieser Schwachstellen können von Angreifern aus der Ferne ausgenutzt werden.
Weitere sechs Sicherheitslücken betreffen den Datenbank-Server MySQL. Obwohl die gefährlichste Lücke einen CVSS-Wert von 6.8 erreicht, sind keine dieser Schwachstellen über ein Netzwerk ohne Authentifizierung auszunutzen.
