2135755

Oracle schließt 25 Java-Lücken

21.10.2015 | 15:21 Uhr |

Oracle beseitigt mit seinen Quartals-Updates insgesamt 154 Sicherheitslücken in etlichen Produkten, darunter Java, MySQL und VirtualBox. Unter den 25 Java-Lücken gelten sieben als besonders schwerwiegend.

Auch Oracle hat seinen regelmäßigen Update-Dienstag. Dieser findet jedoch nur alle drei Monate statt und zwar an dem Dienstag, der dem 17. Tag des jeweiligen Monats am nächsten liegt. Der 20. ist einen Tag näher dran als der 13. und so fällt der Oracle CPU-Tag (CPU: Critical Patch Update) in diesem Monat nicht mit Microsofts Patch Day zusammen. Die Updates für Oktober beseitigen 154 Schwachstellen in Produkten wie der Oracle Datenbank, Fusion Middleware, PeopleSoft Enterprise, E-Business Suite, MySQL, Java SE und VirtualBox.

In Java 8 SE (Standard Edition), zu dem auch das Browser-Plugin JRE (Java Runtime Environment) zählt, hat Oracle 25 Lücken gestopft. Davon sind 24 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, sieben haben den höchstmöglichen CVSS-Score 10.0. Immerhin sind bislang keine Exploits für eine der Lücken bekannt, die bereits für Angriffe ausgenutzt würden – anders als beim vorherigen CPU-Tag im Juli. Java-Nutzer sollten dennoch möglichst bald auf Java 8 Update 65 (8u65) aktualisieren.

In der Datenbank MySQL, die auf vielen Web-Servern im Einsatz ist, hat Oracle 30 Schwachstellen behoben. Zwei dieser Lücken sind ohne Benutzeranmeldung aus der Ferne ausnutzbar, der höchste CVSS-Score beträgt 9.0. In der kommenden Woche soll MySQL 5.7 erscheinen. In der Virtualisierungslösung VirtualBox hat Oracle drei Lücken gestopft, von denen eine aus der Ferne ausnutzbar ist. Die Schwachstellen sind in der aktuellen Version 5.0.8 behoben.

Eric P. Maurice betont im Oracle Software Security Assurance Blog , dass der Hersteller immer wieder Meldungen von Kunden erhalte, dass bei Angriffen Lücken ausgenutzt würden, für Oracle bereits Patches bereit gestellt hat. Er rät daher nachdrücklich dazu, die neuesten Updates möglichst bald einzupflegen. Dies sei gerade bei diesem CPU-Tag wichtig, da mit diesen Updates eine Reihe besonders schwerwiegender Schwachstellen beseitigt würde. Für keine dieser gravierenden Lücken seien bislang Angriffe bekannt, dies könne sich aber schnell ändern.

0 Kommentare zu diesem Artikel
2135755