2210406

Oracle schließt 270 Sicherheitslücken in Java, VirtualBox & Co.

20.07.2016 | 09:20 Uhr |

Oracle hat bei seinem vierteljährlichen Patch Day insgesamt mindestens 270 Schwachstellen beseitigt. Darunter sind auch Lücken in Java, MySQL und VirtualBox.

Eine Woche nach Microsofts monatlichem Update-Dienstag hat Oracle seine Quartals-Updates veröffentlicht. Der Software-Hersteller nennt das CPU (Critical Patch Update). Bei den lange im Voraus bekannten Terminen im Januar, April, Juli und Oktober schließt Oracle Sicherheitslücken in seiner gesamten Produktpalette, die vom Datenbank-Server über verschiedene Unternehmenslösungen bis zu Java und VirtualBox reicht. Der aktuelle CPU-Tag behandelt 270 Schwachstellen, das sind noch mehr als im Januar (über 250) und im April (136).

Der größte Einzelposten mit 40 geflickten Lücken ist das Update für Fusion Middleware. Fünf der Lücken haben den CVSS Score 9.8. CVSS (Common Vulnerability Scoring System) ist ein herstellerunabhängiger Standard zur Risikoeinstufung, bei dem 10.0 der höchstmögliche Wert ist. Die zweithöchste Anzahl behobener Schwachstellen entfällt auf die Sun Systems Products Suite, eine Sammlung von Software-Produkten aus der Übernahme des Unternehmens Sun Microsystems, zu der etwa das Unix-artige Betriebssystem Solaris zählt. Hier sind es insgesamt 34 Lücken, unter denen drei mit dem CVSS Score 9.8 sind.

Ebenfalls zum Sun-Erbe gehört Java, das jedoch separat aufgeführt wird. In Java SE (Standard Edition) hat Oracle 13 Lücken gestopft, von denen neun ohne Benutzeranmeldung über das Netzwerk ausnutzbar sind. Vier dieser Schwachstellen tragen den CVSS Score 9.6. Für Endanwender gibt es das Java Plug-in JRE (Java Runtime Environment) in der neuen Version Java 8 Update 101 , Software-Entwickler sollten die zusätzlichen Bug-Fixes der Version Java 8 Update 102 beachten. Sicherheits-Updates für die älteren Java-Generationen 6 und 7 erhalten nur noch zahlenden Kunden, öffentlich verfügbar sind sie nicht.

Die im Web wohl meistgenutzte Datenbank MySQL gehört ebenfalls zum Oracle-Portfolio und erhält mit dem aktuellen Update Flicken für 22 Lücken. Drei davon sind ohne Benutzeranmeldung über das Netzwerk ausnutzbar, der höchste CVSS Score ist 8.1. Betroffen sind Versionen bis einschließlich 5.7.12, 5.6.30 und 5.5.49. Die in einer kostenlosen Fassung erhältliche Virtualisierungslösung VirtualBox erhält ein Update auf die Version 5.0.26. Darin sind zwei Lücken gestopft, deren CVSS Score 5.9 und 5.5 beträgt. Aktuell ist allerdings bereits seit letzter Woche VirtualBox 5.1 , das laut Oracle durch diese beiden Schwachstellen nicht betroffen ist.

0 Kommentare zu diesem Artikel
2210406