Oracle Critical Patch Update Advisory – Styczeń 2011

Piotr Sajda
Björn Bröhl

1. Podstawy

1.1. Analiza Oracle Technology Network (OTN) i Oracle Metalink

Podstawą przeprowadzonej analizy są niżej wymienione źródła oraz własne badania:

Przegląd Patch Set Update i Critical Patch Update:

http://www.oracle.com/technetwork/topics/security/alerts-086861.html

Ogólne informacje o CPU January 2011:

http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html

Macierz ryzyka RDBMS dla Oracle CPU, January 2011:

http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html#AppendixDB

Dostępność Oracle Patch Set Update oraz Critical Patch Update, January 2011 [ID 1263374.1]:

https://support.oracle.com/CSP/ui/flash.html#tab=KBHome%28page=KBHome&id=
%28%29%29,%28page=KBNavigator&id=%28bmDocDsrc=KB&bmDocTitle=Patch%20Set%20Update%20and%20Critical%20Patch%20Update%20
January%202011%20Availability%20Document&bmDocID=1263374.1&from=BOOKMARK&viewingMode=1143&bmDocType=REFERENCE%29%29

Map of Public Vulnerability to Advisory/Alert:

http://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html

Oracle Critical Patch Update, January 2011 – Database Patch Security Vulnerability Molecule Mapping [ID 1263369.1]:

https://support.oracle.com/CSP/ui/flash.html#tab=KBHome%28page=KBHome&id
=%28%29%29,%28page=KBNavigator&id=%28bmDocDsrc=KB&bmDocTitle=Critical%20Patch%20January%202011%20Database%20Patch%20
Security%20Vulnerability%20Molecule%20Mapping&bmDocID=1263369.1&from=BOOKMARK&viewingMode=1143&bmDocType=REFERENCE%29%29

Oracle Critical Patch Update, January 2011 – Database Known Issues [ID 1263367.1]:

https://support.oracle.com/CSP/ui/flash.html#tab=KBHome%28page=KBHome&id
=%28%29%29,%28page=KBNavigator&id=%28bmDocDsrc=KB&bmDocTitle=Critical%20Patch%20Update%20January%202011%20Database%20
Known%20Issues&bmDocID=1263367.1&from=BOOKMARK&viewingMode=1143&bmDocType=REFERENCE%29%29

Oracle Critical Patch Update, January 2011 – Documentation Map [ID 1273550.1]:

https://support.oracle.com/CSP/ui/flash.html#tab=KBHome%28page=KBHome&id
=%28%29%29,%28page=KBNavigator&id=%28bmDocDsrc=KB&bmDocTitle=Oracle%20Critical%20Patch%20Update%20
January%202011%20Documentation%20Map&bmDocID=1273550.1&from=BOOKMARK&viewingMode=1143&bmDocType=REFERENCE%29%29

Oracle Critical Patch Update, styczeń 2011 – pliki Readme:

Oracle 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1

1.2. Dodatkowe źródła

Dodatkowe informacje, które zostały opublikowane przez firmy lub osoby zewnętrzne:

http://www.red-database-security.com/

http://cve.mitre.org

http://www.notsosecure.com/folder2/2011/01/19/oracle-cpu-jan-2011/

http://www.prlog.org/11234566-appsecs-teamshatter-reports-50-of-database-vulnerabilities-in-january-2011-oracle-cpu.html

http://packetstormsecurity.org/files/cve/CVE-2010-4449/page1/

http://www.prlog.org/11234566-appsecs-teamshatter-reports-50-of-database-vulnerabilities-in-january-2011-oracle-cpu.html

http://soonerorlater.hu/download/hacktivity_lt_2010_en.pdf

http://www.teamshatter.com/topics/security-advisory/advisory-oracleremexecservice-command-excution-via-named-pipe-vulnerability-windows-only/

http://www.teamshatter.com/topics/security-advisory/advisory-oracle-database-vault-administrator-web-console-session-id-disclosure/

2. Ocena ogólna

Styczniowe CPU 2011 zawiera w sumie 66 poprawek dla produktów Oracle1. Jest to o jedną czwartą mniej niż w CPU październikowym 2010. Poprawki te można podzielić na następujące podgrupy:

  • Oracle Database
  • Oracle Fusion Middleware
  • Oracle Enterprise Manager
  • Oracle Applications – E-Business Suite (z powodu luk w Oracle Database oraz Oracle Fusion Middleware)
  • Oracle Applications – Oracle PeopleSoft Enterprise oraz Oracle Supply Chain Product Suite
  • Oracle Health Sciences Applications
  • Oracle Sun Products Suite

Podobnie jak w poprzednim CPU znaczną część poprawek (23) stanowią poprawki dla Oracle Sun Products Suite (październik 2010: 31). Oracle Fusion Middleware otrzymuje 16 poprawek (październik 2010: 8). Na trzecim miejscu są poprawki dla Oracle PeopleSoft oraz JDEdwards Suite z 11 poprawkami (październik 2010: 21). W sumie liczba poprawek dramatycznie spadła i rozkłada się bardziej równomiernie pomiędzy grupy produktów Oracle niż przy poprzednim CPU. Szczególnie wartymi podkreślenia są poprawki dla Oracle Audit Vault 10.2.3.2 (Base Score 10,0 dla Windows), Oracle Fusion Middleware (po raz 8 Base Scores z 7,0), jak również dla Sun Products Suite. Najwyższa ocena Base Score dla Sun Products Suite wynosi 10,0. Luka ta ma numer CVE-2010-4435 i dotyczy – jak CVE-201-3509 z październikowego CPU 2010 – CDE Calendar Manager Service Daemon w systemie Sun Solaris 8, 9 i 10.

Dla serwera baz danych aktualny CPU zawiera 7 poprawek – w tym pięć dla samego silnika bazy danych, jedną dla Oracle Secure Backup oraz jedną dla Oracle Audit Vault. Do tego dochodzi jeszcze bug, którym dotknięty jest Oracle Enterprise Manager. Liczba ta odpowiada mniej więcej liczbie podanej w poprzednich edycjach CPU (styczeń 2010: 9, kwiecień 2010: 7, lipiec 2010: 6, październik 2010: 8).

Zagrożenia dla Core Database Server są porównywalne z tymi opublikowanymi w poprzedniej edycji. Liczba klientów, których dotyczą opublikowane poprawki, może być jednak mniejsza niż przy poprzednich CPU, ponieważ dotyczą one w przeważającej mierze opcji – takich, jak Database Vault czy Oracle Spatial, a więc opcji, które nie wszyscy klienci instalują. Tym niemniej jest to ważne właśnie dla klientów, którzy korzystają z Database Vault, aby chronić swoje dane przed niedozwolonym dostępem, szczególnie zgubnym, ponieważ atak hakerów może nastąpić właśnie poprzez te komponenty.

Dla klientów korzystających z Oracle Secure Backup, Version 10.3.0.2, aktualne CPU rozwiązuje problem z komponentem mod_ssl (Base Score 6,4).

Warto podkreślić szczególnie wysokie zagrożenie przy korzystaniu z Oracle Audit Vault (Version 10.2.3.2). Base Score wynosi 10,0 dla systemów Windows oraz 7,5 dla innych systemów operacyjnych. Bez zaawansowanej wiedzy i autentykacji można dokonać ataku poprzez sieć, którego efektem może być całkowita utrata danych oraz awarie. Podobnie jak w przypadku Database Vault (patrz powyżej) godnym pożałowania jest fakt, że to właśnie komponent, który powinien zapewnić bezpieczeństwo, daje hakerom możliwość ataku.

W przypadku stosowania Oracle Enterprise Manager Grid Control występuje ryzyko szacowane na Base Score 7, 5 dla bazy danych w wersji 11.1.0.7 oraz 11.2.0.1. W kolejnym rozdziale zostało to opisane bardziej szczegółowo.

3. Wprowadzone poprawki zabezpieczeń

Poniżej opisane zostały i ocenione luki w bezpieczeństwie dla serwera bazy danych, które zostały skorygowane w styczniowym CPU:

(CVE-2010-3600 Oracle Enterprise Manager Grid Control – Client System Analyzer (11.1.0.7, 11.2.0.1))

Oracle Enterprise Manager zawiera następujące komponenty: Oracle Database i Fusion Middleware. Jeżeli bazy danych w wersji 11.1.0.7 lub 11.2.0.1 wraz z Oracle Enterprise Manager Grid Control 10.2.0.5 są wykorzystywane przez klienta, istnieje zagrożenie atakiem poprzez sieć w celu manipulacji danych lub spowodowania awarii, bez konieczności podania użytkownika i hasła. Ta luka pozwala na całkowite przejęcie bazy danych. Base Score wynosi dla niej 7,5. Wg Alex Rothacker w przypadku tego bugu ta ocena podana zgodnie z CVSS nie odzwierciedla adekwatnie ryzyka. Base Score w tym wypadku powinien mieć właściwie najwyższą wartość 10,0.2

CVE-2010-4423 Cluster Verify Utility (10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1)

Ten bug dotyczy tylko platformy Windows i bazy danych w wersji 10.2.0.4, 10.2.0.5, 11.1.0.7 i 11.2.0.1. Przy zadaniach dotyczących instalacji, aktualizacji i utrzymania np. poprzez DBCA czy Oracle Universal Installer istnieje ryzyko wykonania poleceń dla systemu operacyjnego jako lokalny użytkownik systemowy. Powodem tego błędu jest niejasny sposób działania named pipe, poprzez którą polecenia w wyżej wymienionych narzędziach przekazywane są do odpowiednich serwisów Windows3. Base Score dla tego błędu wynosi 6, 9, czyli jest oceniane bardzo wysoko. W tym przypadku należy jednak dodać, że lukę tę można wykorzystać jedynie lokalnie, a większość użytkowników, którzy mogą działać lokalnie na serwerze bazy danych, ma i tak na tyle wysokie uprawnienia, że mało prawdopodobne jest nadużycie z wykorzystaniem tego błędu.

CVE-2010-4421 Database Vault (10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1)

Dla komponentu Database Vault zdiagnozowano lukę bezpieczeństwa, dzięki której przez http można uzyskać dostęp i możliwość manipulowania danymi, a w pewnych warunkach można spowodować obniżenie dostępności bazy danych. Błąd ten polega na wykorzystaniu przez hakera sesji administratora bazy danych Vault i wykonywaniu z jej uprawnieniami własnych poleceń. Aby haker mógł włamać się do sesji administratora, musi on sam najpierw kliknąć link hakera podsunięty w przeglądarce lub mailu. Może to nastąpić w innym oknie przeglądarki, niezależnym od sesji administratora. Możliwość nadużycia zależna jest przede wszystkim od tego, czy równocześnie dostępne jest otwarte połączenie do bazy danych Vault. Jeżeli takowe jest dostępne, haker może wykorzystać sesje administratora, dostać się do bazy danych Vault i niepostrzeżenie wykonać tam własne polecenia (Cross-Site Request Forgery CRSF). Base Score dla CVE-2010-4421 wynosi 6,8. Problemem tym dotknięte są wszystkie wspierane wersje baz danych
aż po wersję 11.2.0.2, w której ta luka została zamknięta.

CVE-2010-3590 Oracle Spatial, MDSYS procedures (10.2.0.4, 11.1.0.7, 11.2.0.1)

Używanie Oracle Spatial umożliwia wykorzystanie luki, która w konsekwencji może prowadzić do naruszenia integralności i poufności danych. Aby wykorzystać ten błąd, haker musi posiadać prawo execute do procedur użytkownika MDSYS.4 Base Score wynosi 4,9. Luka dotyczy następujących wersji bazy danych: 10.2.0.4, 11.1.0.7 i 11.2.0.1.

CVE-2010-4413 Scheduler Agent (11.1.0.7, 11.2.0.1)

Styczniowy CPU 2011 rozwiązuje problem dotyczący Scheduler Agents. Każdy użytkownik z ważnym ID może dokonać na docelowym hoście manipulacji danych lub zmiany uprawnień. Może to doprowadzić do ograniczenia dostępności bazy danych. Na ten temat opublikowane zostały już Exploits5, dlatego też zalecana jest pilna instalacja aktualnego CPU.

CVE-2010-4420 Database Vault (10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1)

Database Vault dotyczy jeszcze inna luka bezpieczeństwa, którą rozwiązuje aktualny CPU: jeżeli administrator loguje sie poprzez interfejs webowy Database Vault, jego sesja zostaje zaopatrzona jednoznacznym ID. Jest ono przechowywane w Cache, a stamtąd może być domyślnie odczytane przez wszystkich, co może również prowadzić do nadużyć i wykonania własnych poleceń z ID sesji i uprawnieniami administratora.6 Jednakże w tym przypadku konieczne jest już lokalne logowanie. Być może dlatego Base Score wynosi dla niego 3,6 czyli względnie mało.

CVE-2010-3596 Oracle Secure Backup – mod_ssl (10.3.0.2)

Aktualny pach security niweluje lukę w bezpieczeństwie dla Oracle Secure Backup. Przy pomocy mod_ssl można było manipulować danymi i ograniczyć ich dostępność. Problem dotyczy Secure-Backup-Version 10.3.0.2.

CVE-2010-4449 Audit Vault (10.2.3.2)

Oracle Audit Vault zawiera lukę ocenianą najwyżej w Base Score (10,0), dotyczącą platformy Windows. Również dla Linux, Unix i innych systemów operacyjnych Base Score wynosi 7,5. Ten bug umożliwia pełny dostęp do Audit Vault i jego danych oraz manipulowanie nimi poprzez sieć. Poza tym haker może spowodować kompletny DoS. Jeżeli poprzez Audit Vault wydane zostanie polecenie action.execute (Default-TCP/IP-Port 5700), dostarczone przez nie parametry nie są poprawnie sprawdzane. To umożliwia napastnikowi przemycenie własnego kodu7. Stąd też zaleca się pilnie instalację aktualnego CPU.

Podsumowanie 11.2.0.2:

Dla wersji 11.2.0.2 bazy danych w CPU ze stycznia 2011 zawarte są wszystkie Security-Bugfixes. Dlatego też nie ma oddzielnego CPU dla tej wersji8.

Podsumowanie 11.1.0.7 i 11.2.0.1:

Wersje 11.2.0.1 i 11.1.0.7 są dotknięte tymi samymi Security-Bugs. Wszystkie luki, które zostały usunięte przez styczniowy CPU 2011, dotyczą tych dwóch wersji. Stąd instalacja aktualnego CPU jest pilnie zalecana.

Podsumowanie 10.2.0.5:

Trzy słabe punkty dotyczące platformy Windows oraz dwóch innych platform związane były z wersją 10.2.0.5. Dla Windows zagrożenie było największe, ocenione na Base Score 6,9 (CVE-2010-4423). W tym przypadku szczególnie zaleca się instalację aktualnego CPU. Na innych systemach operacyjnych zagrożone były w wersji 10.2.5 tylko takie komponenty jak Database Vault oraz ewentualnie Secure Backup i Audit Vault, które objęte zostały Security-Fixes. Jeżeli nie korzysta się z tych trzech w/w komponentów, można rozważyć ewentualnie rezygnację z instalowania aktualnego CPU. Jednakże również w tym przypadku należy zastanowić się nad ryzykiem, ponieważ patch rozwiązuje również problemy, które nie zostały jeszcze udokumentowane i opublikowane. Dlatego też, jeżeli CPU zostanie od razu zainstalowany, zabezpieczone zostaną również luki, które nie trafiły jeszcze do publicznego wykazu.

Podsumowanie 10.2.0.4:

Dla wersji 10.2.0.4 bazy danych rozwiązane zostały luki dotyczące Cluster Verify Utility (tylko Windows), Database Vault i Oracle Spatial. Dla systemu operacyjnego Windows zalecana jest instalacja aktualnego CPU ze stycznia 2011. Dla innych platform, na których nie używa się ani Database Vault, ani Oracle Spatial, warto przeprowadzić porównanie ryzyka i ewentualnych zalet. (patrz również Podsumowanie 10.2.0.5).

Podsumowanie 10.2.0.3:

Dla wersji 10.2.0.3 bazy danych Oracle udostępniony jest jeszcze tylko patch dla platformy IBM zSeries (z/OS). Tym razem usunięte zostały tylko luki w bezpieczeństwie w Database Vault. Należy rozważyć, czy instalacja aktualnego CPU jest konieczna (patrz: Podsumowanie 10.2.0.5).

Podsumowanie 10.1.0.5:

Dla wersji 10.1.0.5 bazy danych nie opublikowano żadnych rozwiązań w styczniowym CPU 2011.

Podsumowanie Oracle Secure Backup (10.3.0.2):

W Oracle Secure Backup, Version 10.3.0.2 zagrożony jest komponent mod_ssl. Base Score dla tego błędu wynosi 6,4. Instalacja aktualnego CPU jest zalecana klientom, którzy korzystają z Oracle Secure Backup 10.3.0.2.

Podsumowanie Oracle Audit Vault (10.2.3.2):

Klienci używający Oracle Audit Vault, Version 10.2.3.2, powinni pilnie zainstalować styczniowy CPU 2011. Audit Vault może być celem ataku przy minimlnym wysiłku. Napastnik może manipulować danymi oraz wywołać kompletny DoS. Ma to odzwierciedlenie w Base Score wynoszącym 10,0.

4. Wyniki testów instalacji CPU na różnych systemach

4.1. Opis instalacji CPU

Ponieważ instalacja każdego z Critical Patch Updates (CPU) na różnych systemach wymaga wiele trudu, wykonaliśmy to zadanie dla Państwa.

W ramach nowego CPU-Info instalujemy CPU na różnych systemach i na różnych wersjach bazy danych Oracle. Do tej pory są to:

Przetestowane systemy i wersje baz danych.

Platform Linux x86-64 Solaris 64 Bit
(SPARC)
AIX 5L Windows AMD
64Windows 2003
R2 SP2 64 Bit
Wersja 11.2.0.1 11.1.0.7 11.2.0.1 11.1.0.7
11.1.0.7 10.2.0.4 10.2.0.4 10.2.0.4
10.2.0.4

Instalacje są testowane przez Grid Control zarówno manualnie, jak i automatycznie.

Chętnie doradzimy Państwu przy konfiguracji Oracle Grid Control odnośnie automatycznego Patch Deployment lub też innej konfiguracji oprogramowania firmy Oracle.

Jako podstawę do instalacji aktualnego CPU wykorzystujemy zawsze wcześniejsze instalacje CPU (dla aktualnego CPU-Info wykorzystaliśmy CPU z października 2010).

4.2. Wyniki przeprowadzonych testów

Poniżej przedstawiamy zestawienie obrazujące, który Patch został zainstalowany na jakiej bazie danych oraz jakie wystąpiły problemy w czasie instalacji.

Wyniki instalacji testowych, cz. 1

Platforma Linux x86-64 Linux x86-64 Linux x86-64 Solaris 64 Bit (SPARC) Solaris 64 Bit (SPARC)
Wersja RDBMS 10.2.0.4 11.1.0.7 11.2.0.1 10.2.0.4 11.1.0.7
Numer Patcha 10249540 10249534 10249532 10249540 10249534
Wynik instalacji manualnej
Komentarz do instalacji manualnej Instalacja ręczna poprawnie przebiega na bazie CPUOct2010 Instalacja ręczna poprawnie przebiega na bazie CPUOct2010 Instalacja ręczna poprawnie przebiega na bazie CPUOct2010 Instalacja ręczna poprawnie przebiega na bazie CPUOct2010 Instalacja ręczna poprawnie przebiega na bazie CPUOct2010
Wynik instalacji automatycznej
Komentarz do instalacji automatycznej Instalacja automatyczna poprawnie przebiega na bazie CPUOct2010 Instalacja automatyczna poprawnie przebiega na bazie CPUOct2010 Instalacja automatyczna poprawnie przebiega na bazie CPUOct2010 Instalacja automatyczna poprawnie przebiega na bazie CPUOct2010 Instalacja automatyczna poprawnie przebiega na bazie CPUOct2010

Wyniki instalacji testowych, cz. 2

Platforma AIX 5L AIX 5L Windows AMD 64Windows 2003 R2 SP2 64 Bit Windows AMD
64Windows 2003
R2 SP2 64 Bit
Wersja RDBMS 10.2.0.4 11.2.0.1 10.2.0.4 11.1.0.7
Numer Patcha 10249540 10249532 10349200 10350788
Wynik instalacji
manualnej
Komentarz do instalacji manualnej Instalacja ręczna poprawnie przebiega na bazie CPUOct2010 Instalacja ręczna poprawnie przebiega na bazie CPUOct2010 Instalacja ręczna poprawnie przebiega na bazie CPUOct2010 Instalacja ręczna poprawnie przebiega na bazie CPUOct2010
Wynik instalacji
automatycznej
Komentarz do instalacji automatycznej Opatch Fails to Replace libjox*.a While Applying One Off Patch on AIX Platform [ID 779083.1] Instalacja automatyczna poprawnie przebiega na bazie CPUOct2010 Instalacja automatyczna poprawnie przebiega na bazie CPUOct2010 Instalacja automatyczna poprawnie przebiega na bazie CPUOct2010

Legenda:

 

– Wykonano pomyślnie, żadne błędy nie wystąpiły.
– Wykonano pomyślnie lecz dodatkowe kroki musiały zostać wykonane.
– Błąd. Dany krok nie został wykonany.

5. Dodatek

Poniższy słownik zawiera krótkie opisy terminów użytych w CPU-Info.

CPU – oznacza Critical Patch Updates, określenie używane przez Oracle na poprawki związane z bezpieczeństwem. Za pomocą zapytania SQL (select * from dba_registry_history) można dowiedzieć się, jakie poprawki są zainstalowane w bazie danych.

CVE – jest skrótem od „Common Vulnerabilities and Exposures”, będącym standardem nazewniczym dla luk w systemie bezpieczeństwa systemów komputerowych.

DoS – skrót od „Denial of Service” – oznacza formę ataku na serwer albo komputer w sieci powodującą niezdolność do świadczenia danych usług. Z reguły dokonuje się tego przez przeciążenie.

SQL-Injection – jest luką w bazie danych, umożliwiającą napastnikowi wywołanie dodatkowych poleceń SQL w celu eskalacji przywilejów albo uzyskania dostępu do nieuprawnionych danych. SQL-Injection może wystąpić na wszystkich warstwach oprogramowania (klient, serwer aplikacyjny, baza danych, skrypty bazodanowe). Przyczyną jest zawsze zła walidacja wprowadzanych danych.

CSRF – skrót od Cross-Site Request Forgery. Określenie używane w przypadku, gdy haker podsuwa w przeglądarce internetowej polecenie http, które następnie jest wykonywane przy wykorzystaniu ID sesji oraz praw użytkownika będącego celem ataku.

DBCA – skrót dla Database Configuration Assistant, graficzne narzędzie do konfiguracji baz danych

PSU – oznacza Patch Set Update. PSU jest – analogicznie do CPU – publikowane kwartalnie przez Oracle. PSU obok luk bezpieczeństwa usuwa równiez istotne błędy funkcjonalne.

6. Uwagi prawne

W celu sporządzenia powyższego CPU OPITZ CONSULTING oraz firma Red Database Security przeprowadzają testy w oparciu o instalacje standardowe. Testy te przeprowadzone są z należytą starannością przez wykwalifikowanych ekspertów. Nie mogąc jednak wykluczyć dodatkowych czynników wpływających na różnice pomiędzy środowiskiem klienta a środowiskiem testowym, OPITZ CONSULTING oraz firma Red Database Security nie ponoszą żadnej odpowiedzialności za szkody powstałe w skutek zainstalowania lub nie zainstalowania poprawek zawartych w Critical Patch Update.


1 http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html

2 http://www.prlog.org/11234566-appsecs-teamshatter-reports-50-of-database-vulnerabilities-in-january-2011-oracle-cpu.html

3 http://www.teamshatter.com/topics/security-advisory/advisory-oracleremexecservice-command-excution-via-named-pipe-vulnerability-windows-only/

4 http://www.notsosecure.com/folder2/2011/01/19/oracle-cpu-jan-2011/

5 http://soonerorlater.hu/download/hacktivity_lt_2010_en.pdf

6 http://www.teamshatter.com/topics/security-advisory/advisory-oracle-database-vault-administrator-web-console-session-id-disclosure/

7 http://packetstormsecurity.org/files/cve/CVE-2010-4449/page1/

8 Ein Patch Set Update (PSU), das im Ggs. zum CPU auch funktionale Bugs behebt, existiert jedoch für die Version 11.2.0.2.