2343948

Oracle schließt über 250 Sicherheitslücken

18.04.2018 | 09:28 Uhr |

Oracle hat seine neuesten Quartals-Updates veröffentlicht. Sie schließen 254 Sicherheitslücken in der Oracle-Produktpalette, etwa in Java, MySQL und VirtualBox.

Der US-amerikanische Software-Hersteller Oracle stellt in einem dreimonatlichen Turnus gebündelte Sicherheits-Updates für sein umfangreiches Produktportfolio bereit. Oracle nennt das „Critical Patch Update“ (CPU). Beim aktuellen CPU-Tag im April hat Oracle 254 Schwachstellen beseitigt – das sind wieder etwas mehr als im Januar . Neben einer umfangreichen Palette mit Unternehmens-Software sind auch Produkte betroffen, die für private Anwender ebenfalls interessant sind: etwa Java, VirtualBox und MySQL. Etliche der gestopften Lücken sind als kritisch eingestuft. Für diese Einstufung nutzt Oracle CVSS 3.0 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist.

Die meisten Lücken hat Oracle in Fusion Middleware geschlossen. Von den 39 Schwachstellen sind 30 ohne Benutzeranmeldung über das Netzwerk ausnutzbar. Der höchste CVSS-Score ist 9.8. Dicht dahinter folgen die Produkte für Banken und Finanzdienstleister mit 36 gestopften Lücken. Hier sind 18 Lücken ohne Benutzeranmeldung über das Netzwerk ausnutzbar, drei der Schwachstellen erreichen den CVSS-Score 8.8. Die Softwarelösungen für den Handel (Retail) kommen auf 31 beseitigte Sicherheitslücken, von denen neun aus der Ferne ausnutzbar sind und sieben den CVSS-Score 9.8 erreichen.

In der im Web wohl am weitesten verbreiteten Datenbank-Software, MySQL, hat Oracle 33 Lücken gestopft. Davon sind sechs ohne Benutzeranmeldung über das Netzwerk ausnutzbar, der höchste CVSS-Score ist 8.1. Mit 14 beseitigten Sicherheitslücken liegt Java eher im Mittelfeld. Darunter sind 12 ohne Benutzeranmeldung über das Netzwerk ausnutzbare Schwachstellen, der höchste CVSS-Score ist 8.3.

Oracle hat im März die neue Java-Version 10 freigegeben und nun mit Java SE 10.0.1 bereits das erste Sicherheits-Update bereitgestellt. Immerhin 12 der vorgenannten 14 Lücken betreffen Java 10. Für Java 9 ist damit bereits das Ende der Fahnenstange erreicht: Es wird durch Java 10 abgelöst. Endanwender sollten weiterhin bei Java 8 bleiben, rät Oracle. In der neuen Version Java 8 Update 171 (8u171), haben die Entwickler ebenfalls 12 Lücken gestopft. Oracle empfiehlt diese Version, die ebenfalls erhältliche Version 8u172 ist für Software-Entwickler gedacht. Zumindest bis Sommer 2018 soll es noch frei verfügbare Sicherheits-Updates für Java 8 geben.

In der Virtualisierungslösung VirtualBox hat der Hersteller 11 Sicherheitslücken beseitigt. Der höchste CVSS-Score ist 8.8, eine der Lücken ist aus der Ferne ausnutzbar. Die anderen, nur als lokal ausnutzbar ausgewiesenen Schwachstellen könnten es Schadcode ermöglichen aus einer virtuellen Maschine (Gastsystem) auszubrechen und auf Ressourcen des Host-Systems zuzugreifen. Die Bereitstellung der neuen Version 5.2.10 für Windows verzögert sich laut Oracle "aus technischen Gründen" – die Download-Größe der EXE-Datei ist derzeit noch 0 Bytes.

Der nächste turnusmäßige Oracle CPU-Tag ist am 17. Juli.


PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2343948