13.04.2012, 14:36

Frank Ziemann

Oracle Patch Day voraus

Oracle will 88 Sicherheitslücken schließen

Oracle Patch Day

Drei Monate nach seinem ersten Quartals-Update dieses Jahres kündigt Oracle für kommenden Dienstag wieder einen umfassenden Patch-Dienstag an. Neben der Datenbank sind auch Fusion Middleware und frühere Sun-Produkte von kritischen Schwachstellen betroffen.
Das vor allem als Datenbankhersteller bekannte Software-Unternehmen Oracle hält sich weiterhin an seinen vierteljährlichen Turnus zur Bereitstellung seiner so genannten CPUs (Critical Patch Updates). Alle drei Monate, am dritten Dienstag des Monats, werden Sicherheits-Updates für fast die gesamte Produktpalette bereit gestellt. Nur Java (SDK und JRE) folgt einem eigenen, viermonatlichen Turnus und ist, nach einem Java Patch Day im Februar, erst wieder im Juni an der Reihe.
Für den 17. April kündigt Oracle Sicherheits-Updates an, die insgesamt 88 Schwachstellen beseitigen sollen. Das Risikopotenzial der Lücken gibt Oracle mit dem CVSS (Common Vulnerability Scoring System) an. Darin geht ein, welche Voraussetzungen zur Ausnutzung einer Lücke gegeben sein müssen und welche Folgen ein erfolgreicher Angriff haben kann. Die Höchstwertung ist 10.0.
Oracle unterteilt seine Produktpalette in mehrere Gruppen. Der Datenbank-Server und seine Komponenten sind von sechs Schwachstellen betroffen, von denen drei ohne Benutzeranmeldung über das Netzwerk ausnutzbar sind. Der höchste CVSS-Wert in dieser Gruppe ist 9.0. In der Produktgruppe Fusion Middleware sind 11 Lücken zu stopfen, neun davon sind ohne Anmeldung über ein Netzwerk ausnutzbar, Höchstwert 10.0.
Die Produktgruppen Enterprise Manager Grid Control, E-Business Suite und Supply Chain enthalten je vier derart ausnutzbare Schwachstellen, die jedoch nur CVSS-Werte von 5.8, 6.4 sowie 7.5 erreichen. In den PeopleSoft-Produkten gilt es 15 Lücken zu schließen, unter denen jedoch nur zwei sind, die Angriffe über das Netz ohne Benutzeranmeldung ermöglichen. In Oracles Produkten für Finanzdienstleister sollen 17 Lücken gestopft werden (CVSS 6.8).
Zur Gruppe der Sun-Produkte zählen etwa GlassFish, iPlanet und Solaris. Hier will Oracle 15 Lücken beseitigen, deren höchster CVSS-Wert 9.0 beträgt. Fünf dieser Schwachstellen sind ohne Weiteres aus der Ferne ausnutzbar. Weitere sechs Sicherheitslücken betreffen den Datenbank-Server MySQL (CVSS 6.8), stellen jedoch höhere Anforderungen an einen potenziellen Angreifer.
Diskutieren Sie mit anderen Lesern über dieses Thema:
Windows 8: Alle Informationen
Windows 8
Alle Details

Alle Informationen und Updates zum neuen Betriebssystem Windows 8 von Microsoft. mehr

- Anzeige -
PC-WELT Specials
1436700
Content Management by InterRed