2599917

Oracle schließt mehr als 340 Sicherheitslücken

21.07.2021 | 09:28 Uhr | Frank Ziemann

Mit den Quartals-Updates im Juli beseitigt Oracle 342 Schwachstellen in seiner umfangreichen Produktpalette. Dazu zählen neben etlichen Branchenlösungen auch Java, VirtualBox und MySQL.

Der US-amerikanische Software-Hersteller Oracle hält seinen Patch Day nur alle drei Monate ab. Oracle spricht dabei von „Critical Patch Updates“ (CPU). Aufgrund des umfangreichen Produktportfolios sowie des relativ langen Update-Turnus fallen dabei regelmäßig mehrere hundert zu beseitigende Lücken an. Beim CPU-Tag im April waren es 390 Schwachstellen, diesmal sind es 342. Etliche der gestopften Lücken sind als kritisch eingestuft. Für die Risikoeinstufung nutzt Oracle den Industriestandard CVSS 3.1 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist. Auch Microsoft gibt seit einiger Zeit einen CVSS-Score an.

Die meisten Sicherheitslücken hat Oracle in Fusion Middleware geschlossen. Von den 48 Schwachstellen sind 35 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, sieben davon erreichen den CVSS Score 9.8. Zwei Lücken sind sogar mit 9.9 bewertet, jedoch nicht ohne Anmeldung über das Netzwerk ausnutzbar.

Dahinter folgt der bekannte quelloffene Datenbank-Server MySQL, von dessen 41 gestopften Lücken zehn aus der Ferne ausnutzbar sind und eine den sehr hohen CVSS-Score 9.8 erreicht. Die neuesten MySQL-Versionen (MySQL Community Server) sind 8.0.26 und 5.7.35. Für den Versionszweig 5.6.x gibt es seit Jahresanfang keine Updates mehr.

▶Die neuesten Sicherheits-Updates

Java

In Java SE (Standard Edition) hat Oracle nur vier Sicherheitslücken geschlossen. Eine davon betrifft nur Java 7, für das es schon seit 2015 nur noch kostenpflichtige Updates gibt. Alle sind ohne Benutzeranmeldung übers Netzwerk ausnutzbar (CVSS-Höchstwert 7.5). Die neueste, gerade erst im März 2021 eingeführte Java-Generation 16 erhält mit Version 16.0.2 bereits ihr letztes Update, bevor sie im September durch Java 17 abgelöst wird. Java 11 ist hingegen eine so genannte LTS-Version (Long Term Support) und wird acht Jahre lang mit Updates versorgt – Java 11.0.12 ist der neueste Stand.

Für Anwender bleibt weiterhin vorwiegend Java 8 (JRE – Java Runtime Environment) relevant, das für den privaten Einsatz auf unbestimmte Zeit mit kostenlos erhältlichen Sicherheits-Updates versorgt wird. Oracle will das Support-Ende 18 Monate im Voraus ankündigen. Kommerzielle Verwender müssen hingegen seit April 2019 für diese Updates zahlen, werden dafür jedoch bis Ende 2030 versorgt. Die neueste Version ist Java 8 Update 301 (8u301), in der Oracle die drei oben erwähnten Lücken geschlossen hat. Als Browser-Erweiterung (JRE Plug-in) läuft Java nur noch im Internet Explorer 11 sowie im auf Firefox basierenden Browser Waterfox Classic, der im Gegensatz zu Firefox noch die alte NPAPI-Schnittstelle für Plug-ins mitbringt.

Die quelloffene Virtualisierungslösung VirtualBox ist in der neuen Version 6.1.24 erhältlich. Darin hat Oracle vier Lücken gestopft, von denen eine den CVSS-Score 8.2 erreicht. Die eine oder andere Schwachstelle könnte geeignet sein, um aus der virtuellen Maschine auszubrechen und Code auf dem Host-System auszuführen.

Der nächste turnusmäßige Oracle CPU-Tag ist am 19. Oktober.


PC-WELT Marktplatz

2599917