2480660

Oracle beseitigt mehr als 330 Schwachstellen

15.01.2020 | 10:09 Uhr | Frank Ziemann

Mit den ersten Quartals-Updates des Jahres schließt Oracle 334 Sicherheitslücken in seiner umfangreichen Produktpalette. Dazu gehören neben etlichen Branchenlösungen auch Java, VirtualBox und MySQL.

Der US-amerikanische Software-Hersteller Oracle hält seinen Patch Day alle drei Monate ab. Oracle spricht dabei von „Critical Patch Updates“ (CPU). Aufgrund des umfangreichen Produktportfolios und des recht langen Update-Turnus fallen dabei regelmäßig mehrere hundert zu stopfende Lücken an. So hat Oracle im Jahr 2019 bei vier Terminen insgesamt 1119 Schwachstellen beseitigt, 2018 waren es 1126. Der erste CPU-Tag 2020 lässt mit 334 Lücken ahnen, dass es auch in diesem Jahr kaum weniger werden dürften. Etliche der gestopften Lücken sind als kritisch eingestuft. Für diese Einstufung nutzt Oracle den Industriestandard CVSS 3.0 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist.

Die meisten Lücken hat Oracle im Enterprise Manager geschlossen. Von den 50 Schwachstellen sind zehn ohne Benutzeranmeldung über das Netzwerk ausnutzbar, vier erreichen des CVSS SCore 9.8. Hinzu kommen anfällige Komponenten aus dem Datenbank Server und Fusion Middleware, deren Lücken nur bei diesen Produkten mitgezählt werden.

Fusion Middleware folgt gleich dahinter. Es erhält Updates gegen 38 Sicherheitslücken, von denen 30 ohne Anmeldung per HTTP übers Netzwerk ausnutzbar sind. Drei der Schwachstellen erreichen den CVSS-Score 9.8. Der Datenbank Server kommt mit Updates gegen 12 Lücken aus, von denen drei aus der Ferne ausnutzbar sind. Der höchste CVSS Score ist 7.7. Der bekannte quelloffene Datenbank-Server MySQL rangiert mit 19 gestopften Lücken im oberen Mittelfeld. Darunter sind sechs Schwachstellen, die ohne Benutzeranmeldung über das Netzwerk ausnutzbar sind. Eine Schwachstelle setzt den höchsten CVSS-Score mit 7.5.

In Java SE (Standard Edition) hat Oracle insgesamt 12 Lücken gestopft, die alle ohne Benutzeranmeldung übers Netzwerk ausnutzbar sind (CVSS-Höchstwert 8.1). Die neueste, im September eingeführte Java-Generation 13 erhält mit Java 13.0.2 ihr zweites und wohl auch letztes Sicherheits-Update. Java 13 wird bereits im März 2020 durch Java 14 abgelöst. Im Gegensatz dazu wird Java 11 acht Jahre lang mit Updates versorgt. Java 11 ist eine so genannte LTS-Version (Long Term Support). Beide Java-Generationen kommen im Januar auf je sieben beseitigte Schwachstellen.

Für Anwender bleibt weiterhin vorwiegend Java 8 (JRE – Java Runtime Environment) relevant, das für den privaten Einsatz noch bis mindestens Ende 2020 mit kostenlos erhältlichen Sicherheits-Updates versorgt wird. Kommerzielle Verwender müssen hingegen seit April 2019 für diese Updates zahlen, werden dafür jedoch bis März 2025 versorgt. Die neueste Version ist Java 8 Update 241 (8u241), in der Oracle 11 Lücken geschlossen hat. Als Browser-Erweiterung (Plug-in) läuft Java nur noch im Internet Explorer.

Die quelloffene Virtualisierungslösung VirtualBox erscheint in der neuen Version 6.1.2. Darin hat Oracle 18 Lücken gestopft, von denen zwei den CVSS Score 8.2 erreichen. Die eine oder andere Schwachstelle könnte geeignet sein, um aus der virtuellen Maschine auszubrechen und Code auf dem Host-System auszuführen. Die älteren Versionszweige 5.2.x sowie 6.0.x erhalten Updates auf Version 5.2.36 respektive 6.0.16, die die gleichen Schwachstellen beheben.

Der nächste turnusmäßige Oracle CPU-Tag ist am 14. April 2020.

Produkt (-familie)

CVEs

RX

CVSS

Communications

25

23

9.8

Construction and Engineering

12

8

9.8

Database Server

12

3

7.7

E-Business Suite

23

21

9.9

Enterprise Manager

50

10

9.8

Financial Services

24

6

7.5

Fusion Middleware

38

30

9.8

Hospitality

5

2

7.5

Java SE

12

12

8.1

JD Edwards

9

9

9.8

MySQL

19

6

7.5

PeopleSoft

15

12

9.8

Retail Applications

22

14

9.8

Supply Chain

8

8

9.6

Systems

17

8

9.8

VirtualBox

18

0

8.2

CVEs: beseitigte Schwachstellen
RX: aus der Ferne ausnutzbar (remotely eXploitable)


PC-WELT Marktplatz

2480660