2246913

Oracle beseitigt 270 Schwachstellen

18.01.2017 | 16:19 Uhr |

Oracle hat wichtige Sicherheits-Updates für sein Software-Portfolio bereit gestellt. Unter den betroffenen Programmen sind auch Java, VirtualBox und MySQL.

Alle drei Monate veröffentlicht Oracle seine so genannten Critical Patch Updates (CPU). Beim CPU-Tag am 17. Januar hat der Software-Hersteller Updates bereit gestellt, die insgesamt 270 Sicherheitslücken in nahezu allen seinen Programmen schließen. Beim vorherigen CPU-Tag im Oktober waren es über 250 Schwachstellen. Neben Java, MySQL und VirtualBox sind auch Produkte und Produktfamilien wie Oracle Database Server, Fusion Middleware, E-Business Suite, PeopleSoft Enterprise, FLEXCUBE und Solaris betroffen.

Der dickste Brocken in den neuesten Quartals-Updates ist Oracles E-Business Suite. Darin schließt der Hersteller 121 Lücken, von denen 118 ohne Benutzeranmeldung über das Netzwerk ausnutzbar sind. Der höchste CVSS-Score ist 9.1. CVSS. Common Vulnerability Scoring Standard ist ein standardisiertes Verfahren zur Risikobewertung von Schwachstellen, 10 ist der Höchstwert. Da die E-Business Suite Komponenten aus Oracle Database Server und Fusion Middleware enthält, kommen deren Sicherheitslücken noch hinzu.

Im Oracle Database Server sind nur zwei Lücken (CVSS 9.0 und 3.3) zu stopfen, die ohne Benutzeranmeldung über das Netzwerk ausnutzbar sind. In Fusion Middleware sind hingegen 18 neue Schwachstellen entdeckt worden, der maximale CVSS-Score ist 9.8. Ohne Benutzeranmeldung über das Netzwerk ausnutzbar sind 15 dieser Lücken. Darunter sind auch neun Schwachstellen in Oracle Outside In, die möglicherweise auch Produkte anderer Hersteller, etwa Microsoft Exchange, betreffen könnten.

Die unter dem Namen FLEXCUBE zusammengefassten Software-Produkte für Finanzdienstleister wie Banken erhalten Updates, die insgesamt 37 Lücken schließen. Darunter sind 14 Lücken, die ohne Benutzeranmeldung über das Netzwerk ausnutzbar sind. Der höchste CVSS-Score ist 8.2. In PeopleSoft Enterprise PeopleTools beseitigt Oracle sieben Schwachstellen. Fünf sind ohne Benutzeranmeldung über das Netzwerk ausnutzbar, der maximale CVSS-Score ist 9.8

Die Datenbank mit der weltweit wohl weitesten Verbreitung ist MySQL, das im Unterbau vieler Web-Server steckt. Oracle schließt in MySQL 27 Sicherheitslücken mit einem maximalen CVSS-Score 8.8, von denen fünf ohne Benutzeranmeldung über das Netzwerk ausnutzbar sind. In Solaris sind drei Lücken zu stopfen (CVSS: 5.7, 3.7, 3.3). Eine Lücke im Kernel ist ohne Benutzeranmeldung über das Netzwerk ausnutzbar.

Java SE (Standard Edition) ist in der neuen Version Java 8 Update 121 erhältlich, die 17 Schwachstellen behebt. Bis auf eine sind alle ohne Benutzeranmeldung über das Netzwerk ausnutzbar, der höchste CVSS-Score ist 9.6. Oracle kündigt zudem an, dass JARs, die mit dem veralteten MD5-Verfahren signiert sind, ab April als unsigniert behandelt werden. JAR, eine Art ZIP-Datei, ist das Dateiformat, in dem Java-Anwendungen und -Applets üblicherweise ausgeliefert werden.

Oracle quelloffene Virtualisierungs-Software VirtualBox ist in der neuen Version 5.1.14 verfügbar. Darin hat Oracle vier Sicherheitslücken geschlossen, der höchste CVSS-Score ist 8.4. Eine der Lücken ist ohne Benutzeranmeldung über das Netzwerk ausnutzbar. Außerdem gibt es eine Reihe nicht sicherheitsrelevanter Bug-Fixes.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2246913