2521154

Oracle schließt mehr als 440 Sicherheitslücken

17.07.2020 | 08:35 Uhr | Frank Ziemann

Mit den Quartals-Updates im Juli beseitigt Oracle 443 Schwachstellen in seiner umfangreichen Produktpalette. Dazu gehören neben etlichen Branchenlösungen auch Java, VirtualBox und MySQL.

Der US-amerikanische Software-Hersteller Oracle hält seinen Patch Day alle drei Monate ab. Oracle spricht dabei von „Critical Patch Updates“ (CPU). Aufgrund des umfangreichen Produktportfolios sowie des recht langen Update-Turnus fallen dabei regelmäßig mehrere hundert zu stopfende Lücken an. Beim ersten CPU-Tag 2020 im Januar waren es bereits 334 Schwachstellen, im April 399 und im dritten Quartal sind es sogar 443. Mit den bislang beseitigten 1176 Schwachstellen übertrifft Oracle in diesem Jahr bereits jetzt die Gesamtzahlen der Vorjahre (2019: 1119, 2018: 1126). Etliche der gestopften Lücken sind als kritisch eingestuft. Für diese Einstufung nutzt Oracle den Industriestandard CVSS 3.0 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist. Auch Microsoft gibt seit einiger Zeit einen CVSS-Score an.

Die meisten Lücken hat Oracle in seinen Kommunikationslösungen geschlossen. Von den 60 Schwachstellen sind 46 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, zwei davon erreichen sogar den CVSS-Score 10.0. Fusion Middleware folgt gleich dahinter. Es erhält Updates gegen 52 Sicherheitslücken, von denen 48 ohne Anmeldung meist per HTTP übers Netzwerk ausnutzbar sind. Zehn der Schwachstellen erreichen den sehr hohen CVSS-Score 9.8.

In den Software-Lösungen für große Einzelhändler (Retail Applications) schließt Oracle 47 Lücken, von denen 42 ohne Anmeldung meist per HTTP übers Netzwerk ausnutzbar sind. Hier kommen sogar 12 Schwachstellen auf einen CVSS-Score von 9.8. Der bekannte quelloffene Datenbank-Server MySQL rangiert mit 40 gestopften Lücken knapp dahinter. Darunter sind sechs Schwachstellen, die ohne Benutzeranmeldung über das Netzwerk ausnutzbar sind. Eine Lücken setzt den höchsten CVSS-Score mit 9.8. Software für die Finanzbranche folgt mit 38 Lücken, 26 davon ohne Anmeldung ausnutzbar. Hier erreichen acht Schwachstellen den CVSS-Score 9.8.

Java
In Java SE (Standard Edition) hat Oracle insgesamt 11 Lücken gestopft, die alle ohne Benutzeranmeldung übers Netzwerk ausnutzbar sind (CVSS-Höchstwert 8.3). Die neueste, gerade erst im März eingeführte Java-Generation 14 erhält mit Java 14.0.2 bereits ihr letztes Sicherheits-Update. Java 14 wird im September durch Java 15 abgelöst. Im Gegensatz dazu wird Java 11 acht Jahre lang mit Updates versorgt. Java 11 ist eine so genannte LTS-Version (Long Term Support). Beide Java-Generationen kommen im Juli auf je 8 beseitigte Schwachstellen. Java 11.0.8 ist der neueste Stand bei der LTS-Version.

Für Anwender bleibt weiterhin vorwiegend Java 8 (JRE – Java Runtime Environment) relevant, das für den privaten Einsatz noch bis mindestens Ende 2020 mit kostenlos erhältlichen Sicherheits-Updates versorgt wird. Kommerzielle Verwender müssen hingegen seit April 2019 für diese Updates zahlen, werden dafür jedoch bis März 2025 versorgt. Die neueste Version ist Java 8 Update 261 (8u261), in der Oracle neun Lücken geschlossen hat. Als Browser-Erweiterung (Plug-in) läuft Java nur noch im Internet Explorer.

Die quelloffene Virtualisierungslösung VirtualBox ist in der neuen Version 6.1.12 erhältlich. Darin hat Oracle 25 Lücken gestopft, von denen eine den CVSS-Score 8.2 erreicht. Die eine oder andere Schwachstelle könnte geeignet sein, um aus der virtuellen Maschine auszubrechen und Code auf dem Host-System auszuführen. Die älteren Versionszweige 5.2.x sowie 6.0.x erhalten Updates auf Version 5.2.44 respektive 6.0.24, die die gleichen Schwachstellen beheben.

Der nächste turnusmäßige Oracle CPU-Tag ist am 20. Oktober 2020.


PC-WELT Marktplatz

2521154