2636734

Oracle schließt fast 500 Sicherheitslücken

19.01.2022 | 09:18 Uhr | Frank Ziemann

Mit den Quartals-Updates im Januar beseitigt Oracle 497 Schwachstellen in seiner umfangreichen Produktpalette. Dazu zählen neben etlichen Branchenlösungen auch Java, VirtualBox und MySQL.

Der US-amerikanische Software-Hersteller Oracle hält seinen Patch Day nur alle drei Monate ab. Oracle spricht dabei von „Critical Patch Updates“ (CPU). Aufgrund des umfangreichen Produktportfolios sowie des relativ langen Update-Turnus fallen dabei regelmäßig mehrere hundert zu beseitigende Lücken an. Beim ersten CPU-Tag des Jahres sind es 497, von denen 91 durch externe Sicherheitsforscher gemeldet wurden. Dies ist die höchste Anzahl jemals durch Oracle bei einem CPU-Tag gestopfter Lücken.

Etliche der beseitigten Schwachstellen sind als kritisch eingestuft. Für die Risikobewertung nutzt Oracle den Industriestandard CVSS 3.1 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist. Auch Microsoft gibt seit einiger Zeit einen CVSS-Score für beseitigte Sicherheitslücken an.

Die dicksten Brocken

Die meisten Sicherheitslücken hat Oracle diesmal in seinen Produkten für die Telekommunikationsbranche (Communications) geschlossen. Von den 84 gestopften Lücken sind 50 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, zwei davon erreichen den CVSS Score 9.8. Mit 78 behobenen Schwachstellen folgt der quelloffene Datenbank-Server MySQL. Hier sind drei Lücken ohne Benutzeranmeldung über das Netzwerk ausnutzbar, zwei erreichen den CVSS Score 9.8. Die neuesten MySQL-Versionen (MySQL Community Server) sind 8.0.28 und 5.7.37. Für den Versionszweig 5.6.x gibt es seit Anfang 2021 keine Updates mehr.

▶Die neuesten Sicherheits-Updates

Java

In Java SE (Standard Edition) hat Oracle insgesamt 18 Sicherheitslücken geschlossen. Alle sind ohne Benutzeranmeldung übers Netzwerk ausnutzbar (CVSS-Höchstwert 6.5). Die neueste, im September 2021 eingeführte Java-Generation 17 erhält mit Version 17.0.2 ihr zweites Sicherheits-Update, das 15 Lücken stopft. Java 17 ist wie Java 11 eine LTS-Version (Long Term Support). Beide werden acht Jahre lang mit Updates versorgt. Bei Java 11 ist Version 11.0.14 der neueste Stand, der 16 Lücken schließt.

Für Anwender bleibt weiterhin vorwiegend Java 8 (JRE – Java Runtime Environment) relevant, das für den privaten Einsatz auf vorerst unbestimmte Zeit mit kostenlos erhältlichen Sicherheits-Updates versorgt wird. Oracle will das Support-Ende 18 Monate im Voraus ankündigen. Kommerzielle Verwender müssen hingegen seit April 2019 für diese Updates zahlen, werden dafür jedoch bis Ende 2030 versorgt. Die neueste Version ist Java 8 Update 321 (8u321), in der Oracle 14 Lücken geschlossen hat. Als Browser-Erweiterung (JRE Plug-in) läuft Java nur noch im Internet Explorer 11 sowie im auf Firefox/Gecko basierenden Browser Waterfox Classic, der im Gegensatz zu aktuellen Firefox-Versionen (und Waterfox 4.x) noch die alte NPAPI-Schnittstelle für Plug-ins mitbringt.

VirtualBox

Für die quelloffene Virtualisierungslösung VirtualBox ist ein Update auf die Version 6.1.32 erhältlich. Darin hat Oracle zwei Schwachstellen beseitigt, von denen eine den CVSS-Score 6.5 erreicht. Die Schwachstellen können es einem lokalen Angreifer ermöglichen, Daten aus der Speicher der virtuellen Maschine auszulesen – bei der Lücke CVE-2022-21394 alle, bei CVE-2022-21295 eine Untermenge.

Der nächste turnusmäßige Oracle CPU-Tag ist am 19. April 2022.


PC-WELT Marktplatz

2636734