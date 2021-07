Oracle hat sein quartalsweise erscheinendes "Oracle Critical Patch Update Advisory" veröffentlicht. Es umfasst insgesamt 342 Security-Patches für verschiedene Produkte, die teils kritische, aus der Ferne ausnutzbare Schwachstellen schließen. Oracle empfiehlt seinen Kunden, die Patches möglichst umgehend anzuwenden.

CVSS-Score 10.0 für Essbase-Lücke

Als kritisch gelten Schwachstellen mit einem CVSS-Score von 9.0 bis hin zum höchstmöglichen Wert 10.0. Den letztgenannten Wert hat Oracle der Schwachstelle CVE-2021-2244 in Oracle Essbase 21.2, genauer: in den Analytic Provider Services zugeordnet. Sie sei ohne Authentifizierung über das Internet ausnutzbar, um die Services vollständig zu kompromittieren. Einem Eintrag zu CVE-2021-2244 in der MITRE-Datenbank zufolge wäre ein Exploit leicht zu bewerkstelligen, würde jedoch eine (nicht näher beschriebene) "menschliche Interaktion" durch eine andere Person als den Angreifer erfordern.

Weitere Schwachstellen mit Scores nahe der 10 stecken unter anderem in mehreren Versionen von Oracle Commerce, Communications, Enterprise Manager, Fusion Middleware und Java SE.

Eine Übersicht über sämtliche Produkte, für die Patches verfügbar sind, steht am Anfang des Advisories. Sie sind mit den jeweils relevanten Schwachstellen-Beschreibungen im Dokument verlinkt und verweisen außerdem auf separate "Patch Availability"-Dokumente. Für den Zugriff auf letztere ist ein Log-in in den Oracle-Kundenaccount erforderlich.

Extra-Bulletins für Solaris, Oracle Linux und VM Server

Wie gewohnt hat Oracle parallel zu seinem produktübergreifenden Advisory auch separate Sicherheits- und Updatehinweise für das Solaris-Betriebssystem, für Oracle Linux sowie für VM Server for x86 veröffentlicht. Eine Übersichtsseite führt aktuelle und frühere Advisories auf und nennt außerdem die Termine für kommende Critical Patch Updates. Das nächste ist am 19. Oktober 2021 zu erwarten.

(ovw)