zurück zum Artikel

Critical Patch Update: Oracle stellt 248 Sicherheitspatches bereit

Critical Patch Update: Oracle stellt 248 Sicherheitspatches bereit

Die bislang größte Sicherheitsptach-Sammlung von Oracle ist da und fixt Lücken in Database, Java, MySQL und Co. Dieses Mal steht Oracles E-Business Suite im Mittelpunkt.

Mit dem ersten Quartals-Sammel-Update in diesem Jahr stellt Oracle einen eigenen Rekord auf und stellt insgesamt 248 Sicherheitspatches[1] für Produkte seines Software-Portfolios zum Download bereit. Einen Großteil der Schwachstellen sollen Angreifer aus der Ferne ohne Authentifizierung ausnutzen können. Insgesamt gelten aber nur fünf Lücken als kritisch.

Wie gewohnt stellt Oracle eine Liste mit allen betroffenen Anwendungen bereit[2]. Details über die Sicherheitslücken, mögliche Angriffsszenarien und Auswirkungen, etwa Remotecodeausführung, können aber nur registrierte Nutzer einsehen, die Zugang zum Support-Portal haben.

Mit 78 Lücken fixt Oracle die meisten Schwachstellen in der E-Bussines-Suite; davon sollen 69 aus der Ferne ausgenutzt werden können. Der Schweregrad der Lücken wird maximal mit einem CVSS-2.0-Rating von 6.4/10 eingestuft.

Oracles Sun System Products Suite wird über 23 Updates abgesichert. Sieben Lücken sollen Angreifer über das Internet ohne Authentifizierung ausnutzen können. Das höchste CVSS-2.0-Rating beträgt hier 7,4/10.

Nutzer von MySQL sollten die 22 Sicherheitspatches einspielen; eine Schwachstelle können Angreifer unter Umständen aus der Ferne attackieren, warnt Oracle. Der höchste Schweregrad wird bei MySQL mit einem CVSS-2.0-Rating von 7,2/10 eingestuft.

Für Oracles Virtualisierungslösungen, wie etwa VirtualBox, hält das Quartals-Sammel-Update neun Fixes bereit. Fünf Schwachstellen können Oracle zufolge über das Internet ohne Benutzernamen und Passwort angegriffen werden. Bei den Virtualisierungslösungen ist 7,5/10 das höchste CVSS-2.0-Rating.

Java SE versorgt Oracle mit acht Sicherheitspatches[3]. Vier sollen ausschließlich Clients betreffen, die anderen vier Clients und Server. Sieben davon sollen Angreifer ohne Nutzernamen und Passwort aus der Ferne ausnutzen können. Drei Lücken weisen ein CVSS-2.0-Rating von 10/10 auf. Der höchste Schweregrad gilt Oracle zufolge aber nur, wenn der attackierte Nutzer Admin-Rechte hat. In anderen Fällen zähle die Einstufung 7,5/10. Ein Java-Fix kümmert sich um die verwundbare libpng-Programmbibliothek[4].

GoldenGate will Oracle mittels drei Fixes sicherer machen. Alle Lücken sollen aus der Ferne ausgenutzt werden können; zwei haben zudem ein CVSS-2.0-Rating von 10/10 erhalten.

Das nächste Critical Patch Update hat Oracle für den 19. April 2016 angekündigt. (des[5])


URL dieses Artikels:
http://www.heise.de/-3077692

Links in diesem Artikel:
[1] http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
[2] http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html#PIN
[3] https://www.heise.de/meldung/Java-8-Updates-stopfen-einige-Sicherheitsluecken-3077948.html
[4] https://www.heise.de/meldung/Programmbibliothek-libpng-verlangt-nach-Sicherheitsupdates-2922089.html
[5] mailto:des@heise.de