zurück zum Artikel

Oracles Januar-Patches schließen 86 Lücken

Wie angekündigt[1], hat Oracle am gestrigen Dienstag sein erstes Critical Patch Update 2013 veröffentlicht[2]. Die Sammlung enthält 86 Korrekturen für Sicherheitslücken, von denen die gravierendsten den Höchstwert 10 des Common Vulnerability Scoring System (CVSS[3]) erreichen.

Diese beiden Lücken (CVE-2013-0361, CVE-2013-0366) finden sich in Oracle Mobile Server, der früher Oracle Lite 10g hieß. Sie ermöglichen[4] es einem nicht authentifizierten Angreifer über das Netz volle Kontrolle über das System zu erlangen. Drei weitere Schwachstellen (CVE-2013-0362, CVE-2013-0363, CVE-2013-0364) eröffnen ohne Anmeldung Remote-Zugriff auf die Daten des Servers. Betroffen sind die Mobile-Server-Versionen 10 und 11.

In Oracles Datenbank-Modul Spatial wurde ebenfalls eine Lücke (CVE-2012-3220) geschlossen, die dem Angreifer auf Windows-Systemen vollen Zugriff[5] auf das System gewährte. Dazu muss er jedoch beim Datenbankserver angemeldet sein und das Privileg CREATE TABLE besitzen.

Die meisten Fehler behebt Oracle in der freien Datenbank MySQL: Dort schließt es 18 Lücken. Zwei davon sind Speicherfehler (CVE-2012-5612, CVE-2012-5611), die ein angemeldeter Benutzer ausnutzen konnte, um den Server abstürzen zu lassen oder beliebigen Code auszuführen. Im freien MySQL-Clone MariaDB wurden diese Bug bereits Anfang Dezember 2012 behoben[6]. Vor zwei Wochen hatte Oracle die MySQL-Versionen 5.1.67 und 5.5.29 veröffentlichen, die den Fehler ebenfalls korrigieren.

Weitere Schwerpunkte dieser Patch-Sammlung sind Enterprise Manager Grid Control (13), PeopleSoft PeopleTools (12 Patches), Siebel CRM (10), Fusion (9) und Solaris (8). Für einen Bug in Fusion (CVE-2012-0022) hat sich Oracle fast ein Jahr Zeit gelassen: Veröffentlicht wurde der Fehler in Apaches Applicationserver Tomcat am 17.1.2012. Die Apache-Entwickler hatten bereits im November 2011 eine korrigierte Version freigegeben[7]. (ck[8])


URL dieses Artikels:
http://www.heise.de/-1784435

Links in diesem Artikel:
[1] https://www.heise.de/meldung/Oracle-kuendigt-86-Patches-an-1782668.html
[2] http://www.oracle.com/technetwork/topics/security/cpujan2013-1515902.html
[3] http://www.oracle.com/technetwork/topics/security/cvssscoringsystem-091884.html
[4] http://www.securitytracker.com/id/1027995
[5] http://www.securitytracker.com/id/1027994
[6] https://www.heise.de/meldung/MariaDB-schliesst-Zero-Day-Luecke-in-MySQL-1761211.html
[7] http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.23
[8] mailto:ck@ix.de