2306260

Oracle schließt über 250 Sicherheitslücken

18.10.2017 | 09:15 Uhr |

Oracle hat seine letzten Quartals-Updates dieses Jahres veröffentlicht. Sie beseitigen 252 Sicherheitslücken in der Oracle-Produktpalette, etwa in Java, MySQL und VirtualBox.

Das vor allem für seine Datenbankprodukte bekannte US-Unternehmen Oracle stellt in einem dreimonatlichen Turnus gebündelte Sicherheits-Updates für sein umfangreiches Produktportfolio bereit. Oracle nennt das Critical Patch Update (CPU). Beim aktuellen CPU-Tag im Oktober hat Oracle 252 Schwachstellen beseitigt, das sind deutlich weniger als im Juli . Neben seiner Unternehmens-Software-Palette sind auch Produkte betroffen, die für private Anwender ebenfalls interessant sind – etwa Java, VirtualBox und MySQL. Etliche der gestopften Lücken sind als kritisch eingestuft. Für diese Einstufung nutzt Oracle CVSS 3.0 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist.

Die meisten Lücken hat Oracle in Fusion Middleware geschlossen. Von den 44 Schwachstellen sind 26 ohne Benutzeranmeldung über das Netzwerk ausnutzbar. Der höchste CVSS-Score ist 9.8. Gleich dahinter folgen die Anwendungen für Hotels (Hospitality Applications) mit 37 gestopften Lücken. Hier sind 13 Lücken ohne Benutzeranmeldung über das Netzwerk ausnutzbar, den CVSS-Score 10.0 erreichen zwei der Lücken. In der E-Business Suite hat Oracle 26 Schwachstellen beseitigt, die alle bis auf eine über das Netzwerk ausnutzbar sind. Zwei der Lücken erreichen den CVSS-Score 9.1

Dann folgt bereits die im Web wohl am weitesten verbreitete Datenbank: MySQL. Von den 25 gestopften Lücken sind sechs ohne Benutzeranmeldung über das Netzwerk ausnutzbar, der höchste CVSS-Score ist 8.8. Mit 22 beseitigten Sicherheitslücken liegt Java knapp dahinter. Hiervon sind 20 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, der höchste CVSS-Score ist 9.6.

Oracle hat im September das vor allem auf Modularität und Open Source ausgerichtete Java 9 ins richtige Leben entlassen und nun mit Java SE 9.0.1 ein erstes Sicherheits-Update bereit gestellt. Immerhin 17 der vorgenannten 22 Lücken betreffen Java 9. Endanwender sollten im Zweifelsfall noch einige Zeit bei Java 8 bleiben. In der neuen Version Java 8 Update 151 (8u151), haben die Entwickler 18 Lücken gestopft. Oracle empfiehlt diese Version, die ebenfalls erhältliche Version 8u152 ist für Software-Entwickler gedacht. Der Wechsel zu Java 9 als empfohlene Java-Generation könnte bereits im April 2018 erfolgen. Zumindest bis Sommer 2018 soll es noch frei verfügbare Sicherheits-Updates für Java 8 geben.

Die neue VirtualBox -Version 5.1.30 hat Oracle bereits am Montag veröffentlicht. Darin hat der Hersteller fünf Lücken (CVSS 7.3) geschlossen, von denen eine übers Netzwerk ausnutzbar ist. Sie betrifft die quelloffene Fremdkomponente OpenSSL. OpenSSL-Versionen vor 1.1.0e können unter bestimmten Umständen bei einem Handshake abstürzen, der Fehler ist bereits seit Februar beseitigt. Der nächste turnusmäßige Oracle CPU-Tag ist am 16. Januar 2018.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2306260