Oracle schließt 169 Lücken in Java und anderen Produkten

Allein in Java SE wurden 19 Anfälligkeiten beseitigt, von denen vier die höchste Risikobewertung 10 von 10 aufweisen. Die meisten davon lassen sich ohne Authentifizierung aus der Ferne ausnutzen. Patches gibt es unter anderem auch für die Datenbanken, Fusion Middleware und MySQL.

Oracle hat an seinem gestrigen Patchday Updates für insgesamt 169 Schwachstellen in Produkten wie Java, Datenbanken, Fusion Middleware, Enterprise Manager und MySQL bereitgestellt. Allein in Java wurden 19 Sicherheitslücken geschlossen. 14 davon können dem Anbieter zufolge „ohne Authentifizierung aus der Ferne ausgenutzt werden“.

Java (Bild: Oracle)

Zu den betroffenen Komponenten gehören Java SE in den Versionen 5 bis 8, Java SE Embedded 7 und 8 sowie JRockit. Von den Java-Lücken weisen vier die höchste Risikobewertung 10 von 10 auf und zwei weitere einen Basiswert von 9,3.

Mit den jüngsten Updates ändert Oracle auch das Verhalten von Java SE hinsichtlich SSL, wie es in einem Blogbeitrag zum jüngsten Critical Patch Update erklärt. So wird die Verwendung von SSL 3.0 standardmäßig deaktiviert. Oracle reagiert damit auf die als Poodle (PDF) bezeichnete Fehlfunktion in dem 15 Jahre alten Verschlüsselungsprotokoll. Ähnlich will es in Zukunft auch bei allen anderen Produkten verfahren. Zwar können Java-SE-Clients und -Server nach wie vor manuell so konfiguriert werden, dass sie SSL 3.0 vorübergehend weiterverwenden, doch langfristig empfiehlt Oracle den Umstieg auf robustere Protokolle wie TLS 1.2.

Für verschiedene Versionen von Oracles Datenbank-Servern gibt es ebenfalls eine Reihe wichtiger Fixes. Eine der acht Schwachstellen wurde mit 9,0 von 10 Punkten bewertet, weil sie die vollständige Kompromittierung eines anfälligen Servers unter Windows erlaubt. Allerdings lässt sich hier kein Fehler ohne Authentifizierung aus der Ferne ausnutzen.

Von 36 Schwachstellen in Oracles Fusion-Middleware-Produkten, erlauben 28 das Ausnutzen ohne Eingabe von Anmeldedaten aus der Ferne. Die höchste Risikobewertung liegt hier bei 9,3 Punkten, gefolgt von sieben Anfälligkeiten mit mindestens 7,5 Punkten. Zwei erlauben die vollständige Übernahme eines Servers.

Das vierteljährliche Critical Patch Update liefert auch zehn Sicherheitsaktualisierungen für Oracles Enterprise Manager Grid Control (höchste Risikobewertung: 7,5). Die damit behobenen Schwachstellen lassen sich allesamt ohne Authentifizierung aus der Ferne ausnutzen. Gleiches gilt für zehn von insgesamt 29 beseitigten Anfälligkeiten in der Sun Systems Product Suite. Das von ihnen ausgehende Risiko ist mit maximal 10 Punkten bewertet. Die schwerwiegendste Schwachstelle betrifft XCP-Firmware-Versionen vor XCP 2232. In Oracle MySQL werden insgesamt neun Lücken geschlossen, von denen Hacker drei ohne Authentifizierung aus der Ferne ausnutzen können.

Auch für die Oracle-Anwendungen E-Business Suite, Supply Chain Suite, PeopleSoft Enterprise, JDEdwards EnterpriseOne, Siebel CRM, iLearning, Communications, Retail und Health Sciences sind neue Patches erschienen. Hier beträgt die maximale Risikobewertung 7,6.

Zum letzten Patchday im Oktober hatte Oracle 154 Sicherheitslöcher in seinen Produkten gestopft. Die nächsten Critical Patch Updates sind für 14. April, 14. Juli und 20. Oktober diesen Jahres geplant.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Datenbank, Java, Oracle, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Björn Greif
Autor: Björn Greif
Redakteur ZDNet.de
Björn Greif
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Oracle schließt 169 Lücken in Java und anderen Produkten

Kommentar hinzufügen
  • Am 21. Januar 2015 um 22:33 von Wow

    Werden ja immer mehr – sollte es nicht andersrum sein? Und eine kritischer als die andere. It’s Frickelware. ;-)

  • Am 22. Januar 2015 um 14:59 von dieterdreist

    „patchday“, „vierteljährlich“, ist so ein Art des Umgangs mit kritischen Sicherheitslücken heute noch zeitgemäß?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *