heise Security

Oracles Januar-Patches schließen 86 Lücken

Christian Kirsch

Wie angekündigt [1], hat Oracle am gestrigen Dienstag sein erstes Critical Patch Update 2013 veröffentlicht [2]. Die Sammlung enthält 86 Korrekturen für Sicherheitslücken, von denen die gravierendsten den Höchstwert 10 des Common Vulnerability Scoring System (CVSS [3]) erreichen.

Diese beiden Lücken (CVE-2013-0361, CVE-2013-0366) finden sich in Oracle Mobile Server, der früher Oracle Lite 10g hieß. Sie ermöglichen [4] es einem nicht authentifizierten Angreifer über das Netz volle Kontrolle über das System zu erlangen. Drei weitere Schwachstellen (CVE-2013-0362, CVE-2013-0363, CVE-2013-0364) eröffnen ohne Anmeldung Remote-Zugriff auf die Daten des Servers. Betroffen sind die Mobile-Server-Versionen 10 und 11.

In Oracles Datenbank-Modul Spatial wurde ebenfalls eine Lücke (CVE-2012-3220) geschlossen, die dem Angreifer auf Windows-Systemen vollen Zugriff [5] auf das System gewährte. Dazu muss er jedoch beim Datenbankserver angemeldet sein und das Privileg CREATE TABLE besitzen.

Die meisten Fehler behebt Oracle in der freien Datenbank MySQL: Dort schließt es 18 Lücken. Zwei davon sind Speicherfehler (CVE-2012-5612, CVE-2012-5611), die ein angemeldeter Benutzer ausnutzen konnte, um den Server abstürzen zu lassen oder beliebigen Code auszuführen. Im freien MySQL-Clone MariaDB wurden diese Bug bereits Anfang Dezember 2012 behoben [6]. Vor zwei Wochen hatte Oracle die MySQL-Versionen 5.1.67 und 5.5.29 veröffentlichen, die den Fehler ebenfalls korrigieren.

Weitere Schwerpunkte dieser Patch-Sammlung sind Enterprise Manager Grid Control (13), PeopleSoft PeopleTools (12 Patches), Siebel CRM (10), Fusion (9) und Solaris (8). Für einen Bug in Fusion (CVE-2012-0022) hat sich Oracle fast ein Jahr Zeit gelassen: Veröffentlicht wurde der Fehler in Apaches Applicationserver Tomcat am 17.1.2012. Die Apache-Entwickler hatten bereits im November 2011 eine korrigierte Version freigegeben [7]. (ck [8])


URL dieses Artikels:
https://www.heise.de/security/meldung/Oracles-Januar-Patches-schliessen-86-Luecken-1784435.html

Links in diesem Artikel:
  [1] https://www.heise.de/meldung/Oracle-kuendigt-86-Patches-an-1782668.html
  [2] http://www.oracle.com/technetwork/topics/security/cpujan2013-1515902.html
  [3] http://www.oracle.com/technetwork/topics/security/cvssscoringsystem-091884.html
  [4] http://www.securitytracker.com/id/1027995
  [5] http://www.securitytracker.com/id/1027994
  [6] https://www.heise.de/meldung/MariaDB-schliesst-Zero-Day-Luecke-in-MySQL-1761211.html
  [7] http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.23
  [8] mailto:ck@ix.de