2500897

Oracle beseitigt fast 400 Schwachstellen

15.04.2020 | 09:44 Uhr | Frank Ziemann

Mit den Quartals-Updates im April schließt Oracle 397 Sicherheitslücken in seiner umfangreichen Produktpalette. Dazu gehören neben etlichen Branchenlösungen auch Java, VirtualBox und MySQL.

Der US-amerikanische Software-Hersteller Oracle hält seinen Patch Day alle drei Monate ab. Oracle spricht dabei von „Critical Patch Updates“ (CPU). Aufgrund des umfangreichen Produktportfolios sowie des recht langen Update-Turnus fallen dabei regelmäßig mehrere hundert zu stopfende Lücken an. Beim ersten CPU-Tag 2020 im Januar waren es bereits 334 Schwachstellen und in diesem Quartal sind es sogar 397. Etliche der gestopften Lücken sind als kritisch eingestuft. Für diese Einstufung nutzt Oracle den Industriestandard CVSS 3.0 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist.

Die meisten Lücken hat Oracle in seiner E-Business Suite geschlossen. Von den 74 Schwachstellen sind 70 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, eine erreicht den CVSS Score 8.6. Fusion Middleware folgt gleich dahinter. Es erhält Updates gegen 51 Sicherheitslücken, von denen 44 ohne Anmeldung per HTTP oder T3-Protokoll übers Netzwerk ausnutzbar sind. Zwölf der Schwachstellen erreichen den sehr hohen CVSS-Score 9.8.

Der bekannte quelloffene Datenbank-Server MySQL rangiert mit 45 gestopften Lücken knapp dahinter. Darunter sind neun Schwachstellen, die ohne Benutzeranmeldung über das Netzwerk ausnutzbar sind. Zwei Lücken setzen den höchsten CVSS-Score mit 9.8. Die Sparte Kommunikationslösungen kommt auf 39 Schwachstellen, 35 davon sind aus der Ferne ausnutzbar und neun kommen auf den CVSS-Score 9.8. Software für die Finanzbranche folgt mit 35 Lücken, 16 davon ohne Anmeldung ausnutzbar. Hier erreichen sogar zehn Schwachstellen den CVSS-Score 9.8.

Java
In Java SE (Standard Edition) hat Oracle insgesamt 15 Lücken gestopft, die alle ohne Benutzeranmeldung übers Netzwerk ausnutzbar sind (CVSS-Höchstwert 8.3). Die neueste, gerade erst im März eingeführte Java-Generation 14 erhält mit Java 14.0.1 ihr erstes Sicherheits-Update. Java 14 wird bereits im September 2020 durch Java 15 abgelöst. Im Gegensatz dazu wird Java 11 acht Jahre lang mit Updates versorgt. Java 11 ist eine so genannte LTS-Version (Long Term Support). Beide Java-Generationen kommen im April auf je 13 beseitigte Schwachstellen. Java 11.0.7 ist der neueste Stand bei der LTS-Version.

Für Anwender bleibt weiterhin vorwiegend Java 8 (JRE – Java Runtime Environment) relevant, das für den privaten Einsatz noch bis mindestens Ende 2020 mit kostenlos erhältlichen Sicherheits-Updates versorgt wird. Kommerzielle Nutzer müssen hingegen seit April 2019 für diese Updates zahlen, werden dafür jedoch bis März 2025 versorgt. Die neueste Version ist Java 8 Update 251 (8u251), in der Oracle 11 Lücken geschlossen hat. Als Browser-Erweiterung (Plug-in) läuft Java nur noch im Internet Explorer.

Die quelloffene Virtualisierungslösung VirtualBox erscheint in der neuen Version 6.1.6. Darin hat Oracle 19 Lücken gestopft, von denen eine den CVSS-Score 8.8 erreicht. Die eine oder andere Schwachstelle könnte geeignet sein, um aus der virtuellen Maschine auszubrechen und Code auf dem Host-System auszuführen. Die älteren Versionszweige 5.2.x sowie 6.0.x erhalten Updates auf Version 5.2.40 respektive 6.0.20, die die gleichen Schwachstellen beheben.

Der nächste turnusmäßige Oracle CPU-Tag ist am 14. Juli 2020.


PC-WELT Marktplatz

2500897