2423303

Oracle schließt knapp 300 Sicherheitslücken

17.04.2019 | 08:31 Uhr | Frank Ziemann

Mit seinen Quartals-Updates beseitigt Oracle 297 Schwachstellen in seiner umfangreichen Produktpalette. Dazu gehören neben etlichen Branchenlösungen auch Java, VirtualBox und MySQL.

Alle drei Monate veranstaltet der US-amerikanische Software Hersteller Oracle seinen Patch Day. Oracle spricht dabei von „Critical Patch Updates“ (CPU). Waren es im Januar noch 284 geschlossene Sicherheitslücken, beseitigt Oracle beim zweiten CPU-Tag des Jahres noch ein paar mehr Schwachstellen: 297. Etliche der gestopften Lücken sind als kritisch eingestuft. Für diese Einstufung nutzt Oracle CVSS 3.0 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist.

Auch diesmal hat Oracle die meisten Lücken in Fusion Middleware geschlossen. Von den 53 Schwachstellen sind 42 ohne Benutzeranmeldung über das Netzwerk ausnutzbar. Der höchste CVSS-Score ist 9.8, den vier Lücken erreichen. Dann folgt bereits der bekannte quelloffene Datenbank-Server MySQL mit 45 gestopften Lücken. Darunter sind nur vier, die ohne Benutzeranmeldung über das Netzwerk ausnutzbar sind. Eine Schwachstelle setzt den höchsten CVSS-Score mit 7.5.

Oracles E-Business Suite erhält Updates gegen 35 Sicherheitslücken, von denen alle bis auf zwei ohne Anmeldung per HTTP übers Netzwerk ausnutzbar sind. Zwei der Schwachstellen erreichen den CVSS-Score 9.1. Die Kommunikationsanwendungen kommen auf 26 gestopfte Lücken mit einem CVSS-Score bis zu 9.8, den neun Schwachstellen erreichen. Ohne Anmeldung aus der Ferne ausnutzbar sind 19 Lücken. Mit 24 Sicherheitslücken folgen die Software-Lösungen für den Handel (Retail). Darunter sind 20 übers Netzwerk ausnutzbare Schwachstellen, von denen sechs den CVSS-Score 9.8 erreichen.

Erst am 19. März hat Oracle die neue Java-Version 12 freigegeben, jetzt erhält sie mit Java 12.0.1 bereits ein Sicherheits-Update. Es beseitigt zwei Lücken, die aus der Ferne ausnutzbar sind (CVSS 7.5). Nach einem weiteren geplanten Update im Juli wird Java 12 bereits im September durch Java 13 abgelöst. Im Gegensatz dazu wird der Vorgänger Java 11 acht Jahre lang mit Updates versorgt. Java 11 ist eine so genannte LTS-Version (Long Term Support). Die neueste Version 11.0.3 beseitigt die gleichen zwei Lücken wie Java 12.0.1.

Für Anwender ist weiterhin Java 8 relevant, das für den privaten Gebrauch noch mindestens bis Ende 2020 mit kostenlos erhältlichen Sicherheits-Updates versorgt wird. Kommerzielle Verwender müssen hingegen ab sofort für diese Updates zahlen. Die neueste Version Java 8 Update 211 (8u211) beseitigt fünf Schwachstellen. Zu den beiden vorgenannten kommen noch drei weitere Lücken, die ebenfalls ohne Benutzeranmeldung übers Netzwerk ausnutzbar sind und einen CVSS-Score bis 9.0 erreichen. Die ebenfalls erhältliche Version Java 8 Update 212 ist nur für Software-Entwickler gedacht.

Die quelloffene Virtualisierungslösung VirtualBox ist in der neuen Version 6.0.6 verfügbar. Darin hat Oracle 12 Lücken gestopft, von denen sechs den CVSS-Score 8.8 erreichen. Die eine oder andere Schwachstelle könnte geeignet sein, um aus der virtuellen Maschine auszubrechen und Code auf dem Host-System auszuführen. Dazu zählen auch die Lücken mit den Kennungen CVE-2019-2722 und CVE-2019-2723, die im März beim Hacker-Wettbewerb Pwn2Own aufgedeckt wurden. Der ältere Versionszweig 5.2.x erhält ein Update auf Version 5.2.28, das die gleichen Schwachstellen behebt.

Der nächste turnusmäßige Oracle CPU-Tag ist am 16. Juli 2019.


PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2423303