2363654

Oracle beseitigt mehr als 330 Schwachstellen

18.07.2018 | 15:01 Uhr |

Oracle hat seine neuesten Quartals-Updates veröffentlicht. Sie schließen 334 Sicherheitslücken in der Oracle-Produktpalette, etwa in Java, MySQL und VirtualBox.

Der US-amerikanische Software-Hersteller Oracle stellt in einem dreimonatlichen Turnus gebündelte Sicherheits-Updates für sein umfangreiches Produktportfolio bereit. Oracle nennt das Critical Patch Update (CPU). Beim aktuellen CPU-Tag im Juli hat Oracle 334 Schwachstellen beseitigt, das sind erheblich mehr als im April . Neben einer umfangreichen Palette mit Unternehmens-Software sind auch Produkte betroffen, die für private Anwender ebenfalls interessant sind – etwa Java, VirtualBox und MySQL. Etliche der gestopften Lücken sind als kritisch eingestuft. Für diese Einstufung nutzt Oracle CVSS 3.0 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist.

Die meisten Lücken hat Oracle in seinen Produkten für Banken und Finanzdienstleister geschlossen. Von den 56 Schwachstellen sind 21 ohne Benutzeranmeldung über das Netzwerk ausnutzbar. Der höchste CVSS-Score ist 9.8, den neun Lücken erreichen. Dahinter folgt Fusion Middleware mit 44 gestopften Lücken. Hier sind 38 Lücken ohne Benutzeranmeldung über das Netzwerk ausnutzbar, auch hier erreichen neun der Schwachstellen den CVSS-Score 9.8. Die Softwarelösungen für den Handel (Retail) kommen auf 31 beseitigte Sicherheitslücken, von denen 26 aus der Ferne ausnutzbar sind und 13 den CVSS-Score 9.8 erreichen.

Ebenfalls 31 Lücken hat Oracle in der Datenbank-Software MySQL gestopft. Davon sind sieben ohne Benutzeranmeldung über das Netzwerk ausnutzbar. Der höchste CVSS-Score ist auch hier 9.8, wird aber nur von einer Schwachstelle erreicht. Software für die Hotelbranche (Oracle Hospitality) kommt auf 24 Lücken, sieben davon ausnutzbar, der höchste CVSS-Score ist 8.1. In Peoplesoft-Produkten schließen die aktuellen Updates 15 Lücken, von denen 11 übers Netzwerk ausnutzbar sind und zwei den CVSS-Score 9.8 erzielen.

Java
In Java SE (Standard Edition) hat Oracle insgesamt acht Sicherheitslücken zu beseitigen. Die sind alle ohne Benutzeranmeldung über das Netzwerk ausnutzbar, der höchste CVSS-Score ist 9.0. Sechs dieser Schwachstellen betreffen Java 10 und werden mit der neuen Version 10.0.2 behoben. Alle sechs Monate soll ein Funktions-Update erscheinen, bei dem die Hauptversionsnummer hochgezählt wird. Java 10 wird also bereits im Herbst durch Java 11 abgelöst, das es auch als LTS-Version (Long Term Support) geben soll. Diese wird acht Jahre lang mit Updates versorgt. Alle drei Jahre will Oracle eine neue LTS-Version ausliefern. Java 9 wurde durch Java 10 abgelöst und erhält keine Updates mehr.

Für Java 8 will Oracle hingegen noch mindestens bis Januar 2019 öffentlich verfügbare und kostenlose Updates liefern, auch für den Unternehmenseinsatz. Für den persönlichen Gebrauch dehnt Oracle diese Fristverlängerung sogar bis Ende 2020 aus. Für Anwender bleibt Java 8 also noch so lange erste Wahl, bis Software-Entwickler ihre Programme auf neuere Java-Versionen umstellen. Mit der neuen Version Java 8 Update 181 (8u181), schließen die Entwickler sieben Lücken – überwiegend die gleichen wie in Java 10.

In seiner Virtualisierungslösung VirtualBox hat der Hersteller mit der neuen Version 5.2.16 neun Sicherheitslücken beseitigt. Der höchste CVSS-Score ist 8.6, keine der Lücken ist aus der Ferne ausnutzbar. Nur als lokal ausnutzbar ausgewiesene Schwachstellen könnten es Schadcode ermöglichen aus einer virtuellen Maschine (Gastsystem) auszubrechen und auf Ressourcen des Host-Systems zuzugreifen.

Der nächste turnusmäßige Oracle CPU-Tag ist am 16. Oktober.


PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2363654