Der US-amerikanische Software-Hersteller Oracle hält seinen Patch Day nur alle drei Monate ab. Oracle spricht dabei von „Critical Patch Updates“ (CPU). Aufgrund des umfangreichen Produktportfolios sowie des recht langen Update-Turnus fallen dabei regelmäßig mehrere hundert zu stopfende Lücken an. Beim letzten CPU-Tag des Jahres 2020 am 20. Oktober sind es 402. Etliche der gestopften Lücken sind als kritisch eingestuft. Für diese Einstufung nutzt Oracle den Industriestandard CVSS 3.0 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist. Auch Microsoft gibt seit einiger Zeit einen CVSS-Score an. Die meisten Lücken hat Oracle in seinen Lösungen für die Finanzbranche geschlossen. Von den 53 Schwachstellen sind 49 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, zehn davon erreichen den CVSS Score 9.8. Gleichauf liegt der bekannte quelloffene Datenbank-Server MySQL, von dessen 53 gestopften Lücken vier aus der Ferne ausnutzbar sind und nur eine den CVSS-Score 9.8 erreicht. ➤ Die neuesten Sicherheits-Updates Die Software für Kommunikationssektor folgt mit 52 Schwachstellen knapp dahinter. Dabei sind 41 Lücken aus der Ferne ohne Login ausnutzbar, zehn davon kommen auf den CVSS-Score 9.8. Fusion Middleware erhält Updates gegen 46 Sicherheitslücken, von denen 36 ohne Anmeldung meist per HTTP übers Netzwerk ausnutzbar sind. Von diesen Schwachstellen erreichen 18 den sehr hohen CVSS-Score 9.8.
Java
In Java SE (Standard Edition) hat Oracle insgesamt acht Lücken gestopft, die alle ohne Benutzeranmeldung übers Netzwerk ausnutzbar sind (CVSS-Höchstwert 5.3). Die neueste, gerade erst im September eingeführte Java-Generation 15 erhält mit Java 15.0.1 bereits ein Sicherheits-Update. Java 11 ist eine so genannte LTS-Version (Long Term Support) und wird acht Jahre lang mit Updates versorgt – Java 11.0.9 ist der neueste Stand. Beide Java-Generationen kommen im Juli auf je acht beseitigte Schwachstellen. Für Anwender bleibt weiterhin vorwiegend Java 8 (JRE – Java Runtime Environment) relevant, das für den privaten Einsatz auf unbestimmte Zeit mit kostenlos erhältlichen Sicherheits-Updates versorgt wird. Oracle will das Support-Ende 18 Monate im Voraus ankündigen. Kommerzielle Verwender müssen hingegen seit April 2019 für diese Updates zahlen, werden dafür jedoch bis Ende 2030 versorgt. Die neueste Version ist Java 8 Update 271 (8u271), in der Oracle sieben Lücken (CVSS 4.2) geschlossen hat. Als Browser-Erweiterung (Plug-in) läuft Java nur noch im Internet Explorer. Die quelloffene Virtualisierungslösung VirtualBox ist in der neuen Version 6.1.16 erhältlich. Darin hat Oracle sieben Lücken gestopft, von denen eine den CVSS-Score 8.2 erreicht. Die eine oder andere Schwachstelle könnte geeignet sein, um aus der virtuellen Maschine auszubrechen und Code auf dem Host-System auszuführen. Die älteren Versionszweige 5.2.x sowie 6.0.x erhalten keine Updates mehr – die letzten gab es beim CPU-Tag im Juli .
Jahresbilanz 2020
Mit 1578 in diesem Jahr beseitigten Schwachstellen übertrifft Oracle die Gesamtzahlen der Vorjahre mehr als deutlich (2019: 1119, 2018: 1126). Der nächste turnusmäßige Oracle CPU-Tag ist am 19. Januar 2021.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.