2191656

Oracle stopft Java-Lücken beim Patch Day

20.04.2016 | 17:00 Uhr |

Oracle hat im Rahmen seiner Quartals-Updates auch wieder etliche Sicherheitslücken in Java geschlossen. Auch VirtualBox und MySQL erhalten Sicherheits-Updates.

Alle drei Monate stellt Oracle ein umfangreiches Paket aus Sicherheits-Updates für seine gesamte Produktpalette zusammen. Der Hersteller nennt dies CPU (Critical Patch Updates). Am 19. April hat Oracle insgesamt 136 Schwachstellen in seinen Produkten geschlossen. Betroffen sind unter anderem der Datenbank-Server, Fusion Middleware, die E-Business Suite, die Produktfamilie Peoplesoft Enterprise, Solaris, Java, VirtualBox und MySQL.

In Java SE (Standard Edition) hat Oracle neun Lücken gestopft. Alle Schwachstellen sind ohne Benutzeranmeldung über das Netzwerk ausnutzbar. Für drei der Lücken gibt Oracle den CVSS Score mit 9.6 an (10.0 ist der Höchstwert für diese Risikobewertung). Betroffen sind Java-Versionen bis einschließlich 8u77 (Java 8 Update 77), das Oracle erst vor wenigen Wochen als Notfall-Update veröffentlicht hatte. Außerdem betreffen die Schwachstellen auch die älteren Java-Generation 6 und 7, für es keine öffentlich verfügbaren Updates mehr gibt. Nur Kunden mit Support-Vertrag erhalten dafür noch Sicherheits-Updates.

Die von Oracle für normale Benutzer empfohlene Version der JRE (Java Runtime Environment) ist nunmehr Java 8 Update 91 (8u91). Oracle stellt zusätzlich die Version 8u92 bereit. Sie enthält weitere Fehlerbeseitigungen, die jedoch nur für Software-Entwickler relevant sein sollen. Im März 2017 soll Java 9 erscheinen, in dem die JRE als Plug-in für Browser nur noch als Altlast enthalten sein wird, um mit Java 10 gänzlich abgeschafft zu werden.

In der quelloffenen Datenbank MySQL, die weltweit auf vielen Web-Servern eingesetzt wird, schließt Oracle 31 Sicherheitslücken. Vier dieser Lücken sind ohne Benutzeranmeldung über das Netzwerk ausnutzbar, für zwei gibt Oracle den CVSS Score mit 9.8 an. Anfällig sind MySQL-Versionen bis einschließlich 5.7.11 und 5.6.29, zum Teil auch 5.5.48.

Die ebenfalls als Open Source Software erhältliche Virtualisierungslösung VirtualBox ist auf den ersten Blick mit drei Schwachstellen vertreten, doch eine Fußnote weist darauf hin, dass der Patch für eine der Lücken gleich noch vier weitere beseitigt. Für zwei der drei Schwachstellen gibt Oracle den CVSS Score mit 7.5 an, eine dieser Lücken sowie die dritte sind ohne Benutzeranmeldung über das Netzwerk ausnutzbar. Aktuell ist nunmehr VirtualBox 5.0.18 .

0 Kommentare zu diesem Artikel
2191656