Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 17/10/2007
Softwarehuset Oracle har udsendt 52 sikkerhedsrettelser, der fjerner sårbarheder i firmaets database, applikationsserver og applikationer.Oracle udsender sikkerhedsrettelser en gang i kvartalet. Dette kvartals sikkerhedsrettelser fordeler sig på følgende Oracle-produkter:
27 rettelser til Oracle Database. Fem af dem kan udnyttes over et netværk af en uautentificeret bruger.
En rettelse til Oracle Internet Directory.
11 rettelser til Oracle Application Server. Syv af dem kan udnyttes over et netværk af en uautentificeret bruger.
Otte rettelser til Oracle E-Business Suite, hvoraf en enkelt kan udnyttes over et netværk af en uautentificeret bruger.
To rettelser til Oracle Enterprise Manager.
To rettelser til Oracle PeopleSoft Enterprise PeopleTools og en til PeopleSoft Enterprise Human Capital Management.
Oracle udstyrer hver sårbarhed med en risikovurdering baseret på CVSS-standarden (Common Vulnerability Scoring System). Men Amichai Shulman fra databasesikkerhedsfirmaet Imperva kritiserer i en artikel fra Eweek softwarehusets vurderinger.
Således kan man ifølge standarden angive, om en sårbarhed giver mulighed for at overtage systemet delvis ("partial") eller helt ("complete"). Men Oracle har indført en tredje mulighed, "partial+", som angiver, at firmaets software bliver overtaget, men uden at operativsystemet bliver det. Ifølge Amichai Shulman giver det urealistisk lave angivelser af risikoen for eksempel får en sårbarhed, der kan give fuld adgang til en sårbar database, kun risikovurderingen 6,5 ud af 10.