Oracle schließt 89 Sicherheitslücken

Einmal im Quartal veröffentlicht das vor allem als Datenbankhersteller bekannte Software-Unternehmen Oracle ein so genanntes „Critical Patch Update” (CPU). Ab dem nächsten CPU-Termin (16. Oktober) reiht sich auch Java, das bislang einem eigenen Update-Turnus folgt, in diese Quartals-Updates ein. Mit dem gestrigen CPU schließt Oracle insgesamt 89 Sicherheitslücken , verteilt auf nahezu die gesamte Produktpalette. Sechs Schwachstellen betreffen die Oracle Datenbank, eine davon ist ohne Benutzeranmeldung über das Netzwerk ausnutzbar (CVSS Score 7.6). Eine weitere betrifft den XML-Parser in Oracle Database 11.2.0.2 und 11.2.0.3. Diese Lücke (CVE-2013-3751) erzielt mit 9.0 den höchsten CVSS Score (Common Vulnerability Scoring System). In Fusion Middleware hat Oracle 21 Lücken gestopft, von denen 16 ohne Benutzeranmeldung über das Netzwerk ausnutzbar sind. Der höchste CVSS Score ist hier 7.5 und betrifft eine Schwachstelle in JRockit, die auf bereits im Juni in Java geschlossene Lücken zurück geht. Etliche der Fusion-Lücken sind bereits zuvor beseitigt worden. Oracle hat auch Apache-Lücken in seinem darauf basierenden HTTP-Server beseitigt. Aus der Übernahme des Unternehmens Sun Microsystems stammen einige Produkte, die zur „Oracle and Sun Product Suite” zusammengefasst sind. Dazu gehört etwa das Betriebssystem Solaris. Die meisten der 16 in dieser Suite beseitigten Lücken betreffen Solaris. Acht Schwachstellen sind ohne Benutzeranmeldung über das Netzwerk ausnutzbar, der höchste CVSS Score ist 7.8. In der auch im Web sehr beliebten, quelloffenen Datenbank MySQL hat Oracle 18 Sicherheitslücken ausgemerzt. Zwei sind ohne Anmeldedaten übers Netz ausnutzbar, der höchste CVSS Score ist 6.8. Weitere Produkte, in denen Schwachstellen beseitigt worden sind, umfassen unter anderem Hyperion, E-Business Suite, Peoplesoft Industrieanwendungen sowie Oracle VM, besser bekannt als VirtualBox.