Oracle schließt 169 Lücken in Java und anderen Produkten

Oracle hat an seinem gestrigen Patchday Updates für insgesamt 169 Schwachstellen in Produkten wie Java, Datenbanken, Fusion Middleware, Enterprise Manager und MySQL bereitgestellt. Allein in Java wurden 19 Sicherheitslücken geschlossen. 14 davon können dem Anbieter zufolge „ohne Authentifizierung aus der Ferne ausgenutzt werden“.

Zu den betroffenen Komponenten gehören Java SE in den Versionen 5 bis 8, Java SE Embedded 7 und 8 sowie JRockit. Von den Java-Lücken weisen vier die höchste Risikobewertung 10 von 10 auf und zwei weitere einen Basiswert von 9,3.

Mit den jüngsten Updates ändert Oracle auch das Verhalten von Java SE hinsichtlich SSL, wie es in einem Blogbeitrag zum jüngsten Critical Patch Update erklärt. So wird die Verwendung von SSL 3.0 standardmäßig deaktiviert. Oracle reagiert damit auf die als Poodle (PDF) bezeichnete Fehlfunktion in dem 15 Jahre alten Verschlüsselungsprotokoll. Ähnlich will es in Zukunft auch bei allen anderen Produkten verfahren. Zwar können Java-SE-Clients und -Server nach wie vor manuell so konfiguriert werden, dass sie SSL 3.0 vorübergehend weiterverwenden, doch langfristig empfiehlt Oracle den Umstieg auf robustere Protokolle wie TLS 1.2.

Für verschiedene Versionen von Oracles Datenbank-Servern gibt es ebenfalls eine Reihe wichtiger Fixes. Eine der acht Schwachstellen wurde mit 9,0 von 10 Punkten bewertet, weil sie die vollständige Kompromittierung eines anfälligen Servers unter Windows erlaubt. Allerdings lässt sich hier kein Fehler ohne Authentifizierung aus der Ferne ausnutzen.

Von 36 Schwachstellen in Oracles Fusion-Middleware-Produkten, erlauben 28 das Ausnutzen ohne Eingabe von Anmeldedaten aus der Ferne. Die höchste Risikobewertung liegt hier bei 9,3 Punkten, gefolgt von sieben Anfälligkeiten mit mindestens 7,5 Punkten. Zwei erlauben die vollständige Übernahme eines Servers.

Das vierteljährliche Critical Patch Update liefert auch zehn Sicherheitsaktualisierungen für Oracles Enterprise Manager Grid Control (höchste Risikobewertung: 7,5). Die damit behobenen Schwachstellen lassen sich allesamt ohne Authentifizierung aus der Ferne ausnutzen. Gleiches gilt für zehn von insgesamt 29 beseitigten Anfälligkeiten in der Sun Systems Product Suite. Das von ihnen ausgehende Risiko ist mit maximal 10 Punkten bewertet. Die schwerwiegendste Schwachstelle betrifft XCP-Firmware-Versionen vor XCP 2232. In Oracle MySQL werden insgesamt neun Lücken geschlossen, von denen Hacker drei ohne Authentifizierung aus der Ferne ausnutzen können.

Auch für die Oracle-Anwendungen E-Business Suite, Supply Chain Suite, PeopleSoft Enterprise, JDEdwards EnterpriseOne, Siebel CRM, iLearning, Communications, Retail und Health Sciences sind neue Patches erschienen. Hier beträgt die maximale Risikobewertung 7,6.

Zum letzten Patchday im Oktober hatte Oracle 154 Sicherheitslöcher in seinen Produkten gestopft. Die nächsten Critical Patch Updates sind für 14. April, 14. Juli und 20. Oktober diesen Jahres geplant.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

1 Tag ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

1 Tag ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

2 Tagen ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

2 Tagen ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

2 Tagen ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

2 Tagen ago