Der US-amerikanische Software-Hersteller Oracle hält seinen Patch Day nur alle drei Monate ab. Oracle spricht dabei von „Critical Patch Updates“ (CPU). Aufgrund des umfangreichen Produktportfolios sowie des relativ langen Update-Turnus fallen dabei regelmäßig mehrere hundert zu beseitigende Lücken an. Im April sind immerhin 433 Schwachstellen zusammengekommen. Beim vorherigen CPU-Tag im Januar waren es mit 327 gestopften Lücken deutlich weniger.
Etliche der beseitigten Schwachstellen sind als kritisch einzustufen. Angaben dazu, ob Schwachstellen bereits für Angriffe ausgenutzt werden (0-Day-Lücken), macht Oracle nicht. Für die Risikobewertung nutzt Oracle den Industriestandard CVSS 3.1 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist. Auch Microsoft gibt seit einiger Zeit einen CVSS-Score für beseitigte Sicherheitslücken an.
| Produkt | neue Version | beseitigte Lücken | CVSS-Score |
|---|---|---|---|
| Java 8 | 8u371 | 7 | 7.4 |
| Java 11 (LTS) | 11.0.19 | 7 | 7.4 |
| Java 17 (LTS) | 17.0.7 | 7 | 7.4 |
| Java 20 | 20.0.1 | 6 | 7.4 |
| MySQL | 8.0.33 / 5.7.42 | 34 | 9.8 |
| VirtualBox | 7.0.8 / 6.1.44 | 11 | 8.2 |
Die dicksten Brocken
Die meisten Sicherheitslücken hat Oracle in seinen Produkten für die Telekommunikationsbranche (Communications) geschlossen. Von den 77 Lücken sind 65 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, 23 davon erreichen den CVSS-Score 9.8, zwei sogar 9.9. Dicht dahinter folgt die Produktfamilie für Banken und Finanzdienstleister (Financial Services) mit 76 gestopften Lücken. Davon sind 59 ohne Benutzeranmeldung über das Netzwerk ausnutzbar. drei erreichen den CVSS-Score 9.8.
Fusion Middleware kommt auf 49 beseitigte Schwachstellen. Darunter sind 44 ohne Benutzeranmeldung über das Netzwerk ausnutzbare Lücken, sechs davon erreichen den CVSS-Score 9.8. Mit 34 behobenen Schwachstellen liegt auch der quelloffene Datenbank-Server MySQL wieder in der Spitzengruppe. Hier sind 11 Lücken ohne Benutzeranmeldung über das Netzwerk ausnutzbar, eine erreicht den CVSS Score 9.8. Die neuesten verfügbaren MySQL-Versionen (MySQL Community Server) sind 8.0.33 und 5.7.2.
Java-Updates
In Java SE (Standard Edition) hat Oracle insgesamt acht Sicherheitslücken geschlossen, von denen sieben ohne Benutzeranmeldung übers Netzwerk ausnutzbar sind (CVSS-Höchstwert 7.4). Eine dieser Lücken (CVE-2023-21986) betrifft nur die GraalVM für Unternehmen und ist nicht aus der Ferne ausnutzbar. Die neueste, im März 2023 eingeführte Java-Generation 20 erhält mit Version 20.0.1 bereits ihr erstes Sicherheits-Update, das sechs Schwachstellen behebt. Sie wird schon im September 2023 durch Java 21 abgelöst, die nächste LTS-Version.
Java 17 ist wie Java 11 eine LTS-Version (Long Term Support). Beide werden acht Jahre lang mit Updates versorgt. Bei Java 17 ist Version 17.0.7 der neueste Stand, bei Java 11 ist es Version 11.0.19. In Java 17 und 11 hat Oracle sieben Lücken geschlossen. Ab Java 9 bringen Java-basierte Anwendungen selbst mit, was sie brauchen. Im Gegensatz zu Java 8 müssen Sie als Anwender die Java-Laufzeitumgebung (JRE) also im Regelfall nicht selbst installieren und aktualisieren.
▶Die neuesten Sicherheits-Updates
Für Anwender bleibt laut Oracle weiterhin vorwiegend Java 8 (JRE – Java Runtime Environment) relevant und von Oracle empfohlen. Die neueste Version ist Java 8 Update 371 (8u371). Darin hat Oracle ebenfalls sieben Schwachstellen beseitigt. Java 8 wird für den privaten Einsatz auf vorerst unbestimmte Zeit mit kostenlos erhältlichen Sicherheits-Updates versorgt. Oracle will das Support-Ende 18 Monate im Voraus ankündigen. Unternehmen und Behörden müssen hingegen seit April 2019 für diese Updates zahlen, werden dafür jedoch bis Ende 2030 versorgt.
Als Browser-Erweiterung (JRE Plug-in) läuft Java nur noch im obsoleten Internet Explorer 11 sowie in Pale Moon (auf Firefox-Basis) und im auf altem Firefox/Gecko-Code basierenden Browser Waterfox Classic. Letzterer enthält im Gegensatz zu aktuellen Firefox-Versionen (und Waterfox ab 4.x) noch die alte NPAPI-Schnittstelle für Plug-ins – aber auch diverse seit Jahren klaffende Sicherheitslücken. Auch Pale Moon (aktuelle Version: 32.1.1) bringt noch die alte NPAPI-Schnittstelle mit, basiert jedoch auf einem unabhängig weiterentwickelten Firefox-Fork und wird weiterhin mit Sicherheits-Updates gepflegt.
VirtualBox
Die quelloffene Virtualisierungslösung VirtualBox ist in den neuen Versionen 7.0.8 und 6.1.44 erhältlich. Darin hat Oracle 11 Schwachstellen beseitigt, von denen eine (CVE-2023-21990) den CVSS-Score 8.2 erreicht. Eine andere Lücke (CVE-2022-42916) ist ohne Anmeldung über das Netzwerk ausnutzbar. Hinzu kommen wie immer einige Bug-Fixes.
Der nächste turnusmäßige Oracle CPU-Tag ist am 18. Juli. Seit April 2022 sind diese Termine stets am dritten Dienstag im Januar, April, Juli und Oktober.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.