2672338

Oracle schließt knapp 350 Sicherheitslücken

20.07.2022 | 09:11 Uhr | Frank Ziemann

Mit den Quartals-Updates im Juli beseitigt Oracle 349 Schwachstellen in seiner umfangreichen Produktpalette. Dazu zählen neben etlichen Branchenlösungen auch Java, VirtualBox und MySQL.

Der US-amerikanische Software-Hersteller Oracle hält seinen Patch Day nur alle drei Monate ab. Oracle spricht dabei von "Critical Patch Updates" (CPU). Aufgrund des umfangreichen Produktportfolios sowie des relativ langen Update-Turnus fallen dabei regelmäßig mehrere hundert zu beseitigende Lücken an. Im Juli sind immerhin 349 Schwachstellen zusammengekommen. Beim vorherigen CPU-Tag im April waren es sogar 520 zu stopfende Lücken.

Produkt

neue Version

beseitigte Lücken

CVSS-Score

Java 8

8u341

3

7.5

Java 11 (LTS)

11.0.16

3

7.5

Java 17 (LTS)

17.0.4

4

7.5

Java 18

18.0.2

3

7.5

MySQL

8.0.29

43

9.8

VirtualBox

6.1.36

2

8.2


Etliche der beseitigten Schwachstellen sind als kritisch einzustufen. Für die Risikobewertung nutzt Oracle den Industriestandard CVSS 3.1 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist. Auch Microsoft gibt seit einiger Zeit einen CVSS-Score für beseitigte Sicherheitslücken an.

Die dicksten Brocken


Die meisten Sicherheitslücken hat Oracle in seiner Produktfamilie für Finanzdienstleister geschlossen. Von den 59 Lücken sind 38 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, 13 davon erreichen den CVSS-Score 9.8. Knapp dahinter folgen die Produkte für die Telekommunikationsbranche (Communications). Von den 56 gestopften Lücken sind 45 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, vier davon erreichen den höchstmöglichen CVSS-Score 10.0, 13 Schwachstellen liegen mit 9.8 knapp darunter. Mit 43 behobenen Schwachstellen liegt auch der quelloffene Datenbank-Server MySQL in der Spitzengruppe. Hier sind 11 Lücken ohne Benutzeranmeldung über das Netzwerk ausnutzbar, drei erreichen den CVSS Score 9.8. Die neuesten MySQL-Versionen (MySQL Community Server) sind 8.0.29 und 5.7.38.

Java-Updates


In Java SE (Standard Edition) hat Oracle insgesamt vier Sicherheitslücken geschlossen. Drei sind ohne Benutzeranmeldung übers Netzwerk ausnutzbar (CVSS-Höchstwert 7.5). Die neueste, gerade im März 2022 eingeführte Java-Generation 18 erhält mit Version 18.0.2 bereits ihr letztes Sicherheits-Update, bevor im September die Ablösung durch Java 19 erfolgt. Java 17 ist hingegen wie Java 11 eine LTS-Version (Long Term Support). Beide werden acht Jahre lang mit Updates versorgt. Bei Java 17 ist Version 17.0.4 der neueste Stand, bei Java 11 ist es Version 11.0.16.

▶Die neuesten Sicherheits-Updates

Für Anwender bleibt weiterhin vorwiegend Java 8 (JRE – Java Runtime Environment) relevant. Die neueste Version ist Java 8 Update 341 (8u341). Java 8 wird für den privaten Einsatz auf vorerst unbestimmte Zeit mit kostenlos erhältlichen Sicherheits-Updates versorgt. Oracle will das Support-Ende 18 Monate im Voraus ankündigen. Unternehmen und Behörden müssen hingegen seit April 2019 für diese Updates zahlen, werden dafür jedoch bis Ende 2030 versorgt.

Als Browser-Erweiterung (JRE Plug-in) läuft Java nur noch im obsoleten Internet Explorer 11 sowie im auf Firefox/Gecko basierenden Browser Waterfox Classic. Dieser enthält im Gegensatz zu aktuellen Firefox-Versionen (und Waterfox 4.x) noch die alte NPAPI-Schnittstelle für Plug-ins – und diverse seit Jahren unbehandelte Sicherheitslücken.

VirtualBox


Die quelloffene Virtualisierungslösung VirtualBox ist in der neuen Version 6.1.36 erhältlich. Darin hat Oracle zwei Schwachstellen beseitigt, von denen eine den CVSS-Score 8.2 erreicht. Hinzu kommen wie immer zahlreiche Bug-Fixes.

Der nächste turnusmäßige Oracle CPU-Tag ist am 18. Oktober 2022. Seit April 2022 sind diese Termine stets am dritten Dienstag im Januar, April, Juli und Oktober.

PC-WELT Marktplatz

2672338