De patchbundel bevat 11 pleisters voor verschillende versies van de Database 11g, 10g en 9i. De lekken die hiermee worden gedicht, zijn niet zonder een gebruikersnaam en wachtwoord via het netwerk te misbruiken. Drie van de zeven patches voor de WebLogic Server en de negen patches voor de Oracle Application Server zijn echter wel degelijk bedoeld voor kwetsbaarheden die zonder authenticatie zijn uit te buiten.

Onder de andere getroffen producten bevinden zich de TimesTen in-memory database, verschillende PeopleSoft Enterprise-producten, Oracle Enterprise Manager Database Control en de E-Business Suite. Er zijn geen patches voor Oracle's J.D. Edwards-products. Meer informatie is beschikbaar op de site van Oracle.

Sinds eind 2004 geeft Oracle zijn updates per kwartaal vrij tijdens de zogenoemde Critical Patch Update. Om aan te geven hoe ernstig de lekken zijn, hanteert Oracle een 'common vulnerability scoring system' (cvss) met cijfers oplopend tot 10,0. Dit kwartaal is het hoogte cijfer een 6,8.

Overigens is het aantal van 45 patches nog redelijk mild. Zo werden in oktober 2006 maar liefst 101 patches gebundeld in de Critical Patch Update.

Bron: Techworld