Oracle hat das Critical Patch Update October 2007 Pre-Release Announcement veröffentlicht, und Stephen Kost von Integrigy hat es analysiert:

There are 5 remotely exploitable without authentication vulnerabilities, which are not typical of previous database vulnerabilities. Most previous database vulnerabilities require database authentication to exploit. Depending on the exact nature of the 5 remotely exploitable without authentication vulnerabilities, this quarter’s CPU could prove to be the most critical in the past 2 years.

Aber hoppla, das wäre nicht so gut.

Ausserdem ist zu vermerken, dass Oracle wie angekündigt jetzt CVSS 2 Metriken verwendet. Für die nächsten zwei CPUs werden weiterhin auch CVSS 1 Metriken mitgeliefert, damit der Umstieg einfacher fällt.

Comments are closed.