2099152

Java-Update schließt Zero-Day-Lücke

15.07.2015 | 11:51 Uhr |

Oracle hat 193 Sicherheitslücken in seiner Produktpalette geschlossen. Dazu gehören auch Java, MySQL und VirtualBox. Allein 25 gestopfte Lücken entfallen auf Java.

Auch Oracle hat am 14. Juli eine umfangreiche Update-Sammlung heraus gegeben. Seinen alle drei Monate abgehaltenen Patch Day nennt Oracle CPU (Critical Patch Update). Insgesamt 193 Schwachstellen will Oracle diesmal in diversen Produkten behoben haben. Dazu zählen Oracle Database, Fusion Middleware, Hyperion, Oracle Enterprise Manager, Oracle E-Business Suite, Oracle Supply Chain Suite, PeopleSoft Enterprise, Siebel CRM, Oracle Communications Applications, Java, Sun Systems Products Suite (etwa Solaris), Oracle Linux und Virtualisierung (einschließlich VirtualBox) sowie MySQL.

In der neuen Java-Version Java 8 Update 51 hat Oracle 25 Schwachstellen beseitigt, von denen 23 ohne Anmeldung übers Netz ausnutzbar sind. Sieben Lücken tragen den höchsten CVSS-Score 10.0 (CVSS: Common Vulnerability Scoring System). Darunter ist auch die kürzlich bekannt gewordene Zero-Day-Lücke CVE-2015-2590. Trend Micro hat in seinem Security Intelligence Blog eine Analyse veröffentlicht, wie diese Schwachstelle vor Kurzem für gezielte Angriffe auf das US-Militär ausgenutzt worden ist.

Für Java 7 gibt Oracle keine öffentlich verfügbaren Updates mehr heraus. Nur zahlende Kunden mit Support-Vertrag erhalten noch Updates für ältere Java-Generationen. Das letzte allgemein verfügbare Update ist Java 7 Update 80.

In der im Web weit verbreiteten Datenbank MySQL hat Oracle 18 Schwachstellen behoben. Keine dieser Lücken lässt sich ohne Benutzeranmeldung über ein Netzwerk ausnutzen. Der höchste CVSS-Score für eine der MySQL-Lücken ist 6.5. Betroffen sind die MySQL-Versionen 5.6.24 und früher sowie 5.5.43 und früher.

Von den 193 Lücken, die Oracle mit den Updates stopft, entfallen 44 auf Software anderer Hersteller. Dies betrifft Software-Komponenten, die in Oracle-Produkten enthalten sind; etwa Programmbibliotheken wie Glibc oder den PC-Emulator Qemu. Qemu steckt in VirtualBox (bis 4.3.28), Oracle Linux und Oracle VM.

0 Kommentare zu diesem Artikel
2099152