2562248

Oracle schließt über 300 Sicherheitslücken

20.01.2021 | 09:41 Uhr | Frank Ziemann

Mit den Quartals-Updates im Januar beseitigt Oracle 329 Schwachstellen in seiner umfangreichen Produktpalette. Dazu gehören neben etlichen Branchenlösungen auch Java, VirtualBox und MySQL.

Der US-amerikanische Software-Hersteller Oracle hält seinen Patch Day nur alle drei Monate ab. Oracle spricht dabei von „Critical Patch Updates“ (CPU). Aufgrund des umfangreichen Produktportfolios sowie des recht langen Update-Turnus fallen dabei regelmäßig mehrere hundert zu stopfende Lücken an. Beim letzten CPU-Tag 2020 am 20. Oktober waren es 402, beim ersten CPU-Tag 2021 sind es 329 Schwachstellen. Etliche der gestopften Lücken sind als kritisch eingestuft. Für die Risikoeinstufung nutzt Oracle den Industriestandard CVSS 3.1 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist. Auch Microsoft gibt seit einiger Zeit einen CVSS-Score an.

Die meisten Lücken hat Oracle in Fusion Middleware geschlossen. Von den 60 Schwachstellen sind 47 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, 15 davon erreichen den sehr hohen CVSS Score 9.8. In seinen Lösungen für die Finanzbranche hat Oracle 50 Lücken gestopft. Davon sind 41 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, 13 erreichen den CVSS Score 9.8. Dahinter folgt der bekannte quelloffene Datenbank-Server MySQL, von dessen 43 gestopften Lücken fünf aus der Ferne ausnutzbar sind und eine den CVSS-Score 7.5 erreicht. Die neueste MySQL-Versionen sind 8.0.23, 5.7.33 und 5.6.51.

Die neuesten Sicherheits-Updates

Java
In Java SE (Standard Edition) hat Oracle nur eine Sicherheitslücke geschlossen. Sie ist ohne Benutzeranmeldung übers Netzwerk ausnutzbar (CVSS-Höchstwert 5.3). Die neueste, im September 2020 eingeführte Java-Generation 15 erhält mit Version 15.0.2 bereits ihr letztes Update und wird im März durch Java 16 abgelöst. Java 11 ist eine so genannte LTS-Version (Long Term Support) und wird acht Jahre lang mit Updates versorgt – Java 11.0.10 ist der neueste Stand. Beide Java-Generationen sind von der beseitigten Schwachstelle nicht betroffen.

Für Anwender bleibt weiterhin vorwiegend Java 8 (JRE – Java Runtime Environment) relevant, das für den privaten Einsatz auf unbestimmte Zeit mit kostenlos erhältlichen Sicherheits-Updates versorgt wird. Oracle will das Support-Ende 18 Monate im Voraus ankündigen. Kommerzielle Verwender müssen hingegen seit April 2019 für diese Updates zahlen, werden dafür jedoch bis Ende 2030 versorgt. Die neueste Version ist Java 8 Update 281 (8u281), in der Oracle die eine, oben erwähnte Lücke geschlossen hat. Als Browser-Erweiterung (JRE Plug-in) läuft Java nur noch im Internet Explorer 11 sowie im auf Firefox basierenden Browser Waterfox, der im Gegensatz zu Firefox noch die alte NPAPI-Schnittstelle für Plug-ins mitbringt.

Die quelloffene Virtualisierungslösung VirtualBox ist in der neuen Version 6.1.18 erhältlich. Darin hat Oracle 17 Lücken gestopft, von denen eine den CVSS-Score 8.2 erreicht. Die eine oder andere Schwachstelle könnte geeignet sein, um aus der virtuellen Maschine auszubrechen und Code auf dem Host-System auszuführen. Die älteren Versionszweige 5.x sowie 6.0.x erhalten keine Updates mehr – die letzten gab es beim CPU-Tag im Juli 2020 .

Der nächste turnusmäßige Oracle CPU-Tag ist am 20. April.

PC-WELT Marktplatz

2562248