Oracle hat an seinem gestrigen Patchday Updates für insgesamt 169 Schwachstellen in Produkten wie Java, Datenbanken, Fusion Middleware, Enterprise Manager und MySQL bereitgestellt. Allein in Java wurden 19 Sicherheitslücken geschlossen. 14 davon können dem Anbieter zufolge „ohne Authentifizierung aus der Ferne ausgenutzt werden“.
Zu den betroffenen Komponenten gehören Java SE in den Versionen 5 bis 8, Java SE Embedded 7 und 8 sowie JRockit. Von den Java-Lücken weisen vier die höchste Risikobewertung 10 von 10 auf und zwei weitere einen Basiswert von 9,3.
Mit den jüngsten Updates ändert Oracle auch das Verhalten von Java SE hinsichtlich SSL, wie es in einem Blogbeitrag zum jüngsten Critical Patch Update erklärt. So wird die Verwendung von SSL 3.0 standardmäßig deaktiviert. Oracle reagiert damit auf die als Poodle (PDF) bezeichnete Fehlfunktion in dem 15 Jahre alten Verschlüsselungsprotokoll. Ähnlich will es in Zukunft auch bei allen anderen Produkten verfahren. Zwar können Java-SE-Clients und -Server nach wie vor manuell so konfiguriert werden, dass sie SSL 3.0 vorübergehend weiterverwenden, doch langfristig empfiehlt Oracle den Umstieg auf robustere Protokolle wie TLS 1.2.
Für verschiedene Versionen von Oracles Datenbank-Servern gibt es ebenfalls eine Reihe wichtiger Fixes. Eine der acht Schwachstellen wurde mit 9,0 von 10 Punkten bewertet, weil sie die vollständige Kompromittierung eines anfälligen Servers unter Windows erlaubt. Allerdings lässt sich hier kein Fehler ohne Authentifizierung aus der Ferne ausnutzen.
Von 36 Schwachstellen in Oracles Fusion-Middleware-Produkten, erlauben 28 das Ausnutzen ohne Eingabe von Anmeldedaten aus der Ferne. Die höchste Risikobewertung liegt hier bei 9,3 Punkten, gefolgt von sieben Anfälligkeiten mit mindestens 7,5 Punkten. Zwei erlauben die vollständige Übernahme eines Servers.
Das vierteljährliche Critical Patch Update liefert auch zehn Sicherheitsaktualisierungen für Oracles Enterprise Manager Grid Control (höchste Risikobewertung: 7,5). Die damit behobenen Schwachstellen lassen sich allesamt ohne Authentifizierung aus der Ferne ausnutzen. Gleiches gilt für zehn von insgesamt 29 beseitigten Anfälligkeiten in der Sun Systems Product Suite. Das von ihnen ausgehende Risiko ist mit maximal 10 Punkten bewertet. Die schwerwiegendste Schwachstelle betrifft XCP-Firmware-Versionen vor XCP 2232. In Oracle MySQL werden insgesamt neun Lücken geschlossen, von denen Hacker drei ohne Authentifizierung aus der Ferne ausnutzen können.
Auch für die Oracle-Anwendungen E-Business Suite, Supply Chain Suite, PeopleSoft Enterprise, JDEdwards EnterpriseOne, Siebel CRM, iLearning, Communications, Retail und Health Sciences sind neue Patches erschienen. Hier beträgt die maximale Risikobewertung 7,6.
Zum letzten Patchday im Oktober hatte Oracle 154 Sicherheitslöcher in seinen Produkten gestopft. Die nächsten Critical Patch Updates sind für 14. April, 14. Juli und 20. Oktober diesen Jahres geplant.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
2 Kommentare zu Oracle schließt 169 Lücken in Java und anderen Produkten
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Werden ja immer mehr – sollte es nicht andersrum sein? Und eine kritischer als die andere. It’s Frickelware. ;-)
„patchday“, „vierteljährlich“, ist so ein Art des Umgangs mit kritischen Sicherheitslücken heute noch zeitgemäß?