Mit der Veröffentlichung des vierteljährlichen Critical Patch Updates (CPU) wird Oracle heute voraussichtlich insgesamt 193 Sicherheitsupdates für die gesamte Oracle-Produktpalette zum Download bereitstellen. Die kritischsten Schwachstellen schließt der Konzern bei der Oracle-Datenbank, Fusion Middleware, Siebel CRM, den Communications Applications, Java, der Sun Systems Product Suite und MySQL. Das Software-Unternehmen empfiehlt ein schnelles Update aller betroffenen Produkte, da viele der Lücken ohne Authentifizierung ausgenutzt werden können.
Die meisten Updates betreffen die Fusion Middleware mit 39 Aktualisierungen. Ganze 36 Lecks lassen sich hier unautorisiert ausnutzen. Die höchste Gefahrenstufe nach dem Common Vulnerability Scoring System (CVSS) ist 7.5.
Für den Datenbank-Server werden zehn Sicherheitslücken in Oracle 11gR1 (11.1.0.7), 11gR2 (11.2.0.3 und 11.2.0.4), 12cR1 (12.1.0.1 und 12.1.0.2) geschlossen. Zwei der Schwachstellen können Angreifer über das Netzwerk ohne Authentifizierung missbrauchen. Betroffen sind unter anderem Application Express (APEX), Core-RDBMS, Java VM, Oracle OLAP und mehrere RDBMS-Komponenten. Der höchste CVSS-Wert beträgt 9.0.
Auch der Enterprise Manager Grid Control macht mit zwei der drei Patches Schluss mit unautorisierten Zugriffen.
Das Sun-Erbe
Für Java SE stellt Oracle 25 Patches bereit. Hier wird die höchste Sicherheitseinstufung von 10.0 erreicht und 23 Sicherheitslücken erlauben zudem einen unautorisierten Zugriff ohne Benutzernamen und Passwort. Ob eine vom Sicherheitsanbieter Trend Micro entdeckte Zero-Day-Lücke in der aktuellen Java-Version 8 Update 45 geschlossen wird, ist aktuell nicht abzusehen. Die aktuellen Änderungen gibt es für Java SE 6u95, 7u80 und 8u45, Java SE Embedded 7u75 und 8u33, JavaFX 2.2.80 sowie JRockit R28.3.6.
Auch die Sun Systems Products Suite wird mit einer Sicherheitseinstufung von 10.0 belegt, denn zehn der 21 Sicherheitslücken begünstigen einen unautorisierten Zugriff. Betroffen sind unter anderem Solaris in der Version 10 und 11.2, Solaris Cluster 3.3 und 4.2 und Oracle VM Server für SPARC 3.2.
Für MySQL liefert Oracle 18 Aktualisierungen für den MySQL-Server (Versionen 5.5.43 und früher sowie 5.6.24 und früher). Keine der Schwachstellen macht einen unautorisierten Angriff über das Netzwerk möglich. Die CVSS-Note beträgt 6.5.
Die Unternehmensapplikationen
Bei Oracle Siebel CRM können zwar nur drei der fünf Anfälligkeiten ohne Authentifizierung über das Netzwerk angegriffen werden, diese sind aber so schwerwiegend, dass sie mit einem CVSS-Wert von 9.3 bewertet wurden.
Beide in den Communications Applications gefundene Lücken sind von einem möglichen Angriff über das Netzwerk nicht geschützt. Betroffen sind die Produkte Oracle Communications Messaging Server 7.0 und Oracle Communications Session Border Controller in allen Versionen vor 7.2.0m4. Die zwei Lecks wurden mittels CVSS als 10.0 eingestuft.
Mit 13 Sicherheitslücken ist die E-Business-Suite auch vom CPU betroffen, wovon fünf einen Angriff über das Netzwerk zulassen. Eine der vier Sicherheitslücken bei Hyperion, können ohne weiteres von Angreifern genutzt werden. Bei den PeopleSoft-Produkten hat Oracle vier der acht Sicherheitslücken als von außerhalb ausnutzbar identifiziert. Sieben Fixes gibt es für die Supply Chain Produkte, elf für Oracle Virtualization und zwei für die Commerce Plattform, während bei der Berkeley DB 25 Löcher gestopft werden.
