De patches, die in verschillende bundels worden aangeboden, dichten 29 lekken in Oracle's databasesoftware, 1 lek in de Application Server, 15 lekken in de Collaboration Suite, 19 lekken in de E-Business Suite and Applications en 2 lekken in Peoplesoft Enterprise en JD Edwards EnterpriseOne. Daarnaast dicht Oracle ook nog 16 lekken in componenten die niet in één maar in meerdere softwarepakketten voorkomen, zoals Oracle Reports Developer en Java Net.

Opvallend is dat Oracle nauwelijks tot geen informatie verstrekt over de aard van de lekken. De fabrikant maakt alleen bekend welke softwarecomponenten zijn gedicht, welke productversies kwetsbaar zijn en wat de impact en het risico van de lekken is. Welke lekken precies zijn gedicht en wat kwaadwillenden ermee kunnen doen blijft onduidelijk.

Alexander Kornbrust, directeur van het Duitse Red Database Security, acht de kans groot dat een deel van de patches bedoeld zijn voor de Database Listener, een onderdeel dat gebruikt wordt bij verbinding met de database. "De Database Listener is een soort poortwachter. Als het lukt om die te misbruiken, dan heb je meteen controle over het systeem."

Kornbrust denkt dat systeembeheerders de patches zo snel mogelijk willen testen, omdat het grote aantal lekken aanzienlijke risico's met zich meebrengt. "Er zijn heel veel binaries gepatcht. Het zal daarom moeilijk zijn om een work-around te implementeren."

Oracle geeft per jaar vier patchbundels uit (in januari, april, juli en oktober). De eerstvolgende bundel verschijnt op 18 april.

Bron: Techworld