Mit dem neuen Critical Patch Update (CPU) schließt Oracle 89 Sicherheitslücken, die hauptsächlich in der Middleware und den ehemaligen Sun-Produkten angesiedelt sind. Darüber hinaus werden in der Datenbank sechs Schwachstellen beseitigt. Da 45 Lecks ohne Authentifizierung ausgenutzt werden können, wird empfohlen, den CPU möglichst schnell einzuspielen.
Die Sicherheitslücken, die in der Oracle-Datenbank geschlossen werden, betreffen die Versionen 11g Release 1 und 2 sowie 10g Release 2. Die einzige Schwachstelle, die einen Angriff über das Netzwerk ohne Authentifizierung ermöglicht, ist im Network Layer der Versionen 10.2.0.4 und 10.2.0.5 sowie 11.1.0.7, 11.2.0.2 und 11.2.0.3 angesiedelt und erreicht einen CVSS-Wert von 7,6. Ein weiteres Loch im XML-Parser der Versionen 11.2.0.2 und 11.2.0.3 erhält die CVCSS-Note von 9. Darüber hinaus stellt Oracle für die MySQL-Datenbank eine Reihe von Aktualisierungen. Diese schließen 18 Sicherheitslücken, wovon zwei sich unautorisiert ausnutzen lassen.
Die Middleware ist mit insgesamt 21 Aktualisierungen am meisten von dem Patch betroffen. Davon ermöglichen 16 einen Angriff über das Netzwerk ohne Benutzeranmeldung. Allein im HTTP-Server werden 12 Lücken mit einer CVSS-Bewertung zwischen 5,0 und 4,3 geschlossen. Oracle JRockit bekommt eine einzige Aktualisierung, die allerdings mit einem Risikowert von 7,5 eingestuft wird und ebenfalls über das Netzwerk ausgenutzt werden kann. Die anderen Patches betreffen Oracle WebCenter Content, Oracle Outside In Technology sowie Oracle Endeca Server.
Im Enterprise Manager Grid Control gibt es zwei Updates. Neben den Versionen 11.1.0.1 und 10.2.0.5 sind auch die Versionen des Enterprise Manager Plugin for Database 12c Release 1 (12.1.0.2 und 12.1.0.3) von der Aktualisierung betroffen.
Das CPU wirkt sich auch auf 16 Lücken in Solaris, Solaris Cluster und SPARC Enterprise M Series Server aus. Davon ermöglichen acht einen unautorisierten Zugriff ohne Benutzernamen und Passwort. Im Bereich Virtualisierung wird Secure Global Desktop mit zwei Updates versehen, die sich auch ohne weiteres remote und ohne Authentifizierung missbrauchen lassen.
In puncto Applications versorgt Oracle seine E-Business Suite (Versionen 11.5.10.2 sowie 12.0.6, 12.1.1, 12.1.2, 12.1.3) mit sieben Pflastern. Vier davon sollen Lücken schließen, die ohne Authentifizierung über ein Netzwerk ausgenutzt werden können. Für PeopleSoft werden zehn Patches zur Verfügung gestellt, während in Hyperion eine einzige Lücke geschlossen wird.
Betroffen ist von dem CPU auch Agile, in dem vier Sicherheitslücken gestopft werden. Eine davon ermöglicht einen Angriff über das Netzwerk ohne Authentifizierung. Darüber hinaus werden auch in Oracle iLerning sowie Oracle Policy Automation jeweils eine Lücke geschlossen.
