Januar-CPU: Oracle will morgen 86 Sicherheitslücken schließen

  • Erstellt von DOAG Online
  • Security, Business Solutions, Datenbank, Infrastruktur

Morgen ist es wieder soweit: Oracle veröffentlicht am Dienstag sein vierteljährliches Critical Patch Update (CPU) und will somit voraussichtlich 86 Schwachstellen beseitigen, die „Hunderte von Produkten“ betreffen. Das Unternehmen empfiehlt, die Patches möglichst schnell aufzuspielen.

Datenbank

Mit einem CVSS 2.0 Base Score von 10 erhält eine Lücke in dem Oracle Database Mobile/Lite Server die höchste Risikoeinstufung. Weitere vier Schwachstellen betreffen die mobile Datenbankvariante. Alle fünf Schwachstellen können ohne Authentifizierung über ein Netzwerk ausgenutzt werden.

Nur einen Patch gibt es indes für den Oracle Database Server. Dieser schließt eine Lücke mit einem CVSS-Wert von 9 in Oracle Spatial.

Deutlich mehr Aktivität lässt sich im Sun-Umfeld verspüren: Allein 18 Patches widmet Oracle der MySQL-Datenbank, wovon zwei einen Angriff über das Netzwerk ohne Authentifizierung ermöglichen. Der höchste CVSS-Wert liegt bei 9.0.

Middleware und Infrastruktur

Gravierende Sicherheitslücken werden auch im Oracle Enterprise Manager Grid Control behoben. Es handelt sich um insgesamt 13 Löcher, die alle einen unautorisierten Zugriff ohne Benutzernamen und Passwort ermöglichen. Der höchste CPU-Wert in dieser Produktgruppe beläuft sich auf 6,6.

Das CPU wirkt sich auf sieben Lücken in der Fusion Middleware aus. Fünf von ihnen sind als kritisch einzustufen und über ein Netzwerk ohne Benutzerdaten nutzbar.

Auch die Oracle Sun Products Suite ist von dem CPU betroffen, das insgesamt acht Lücken in Solaris und dem Sun Storage Array Manager (CAM) stopft. Die Produktgruppe erreicht einen CVSS-Höchstwert von 6,6. Währenddessen schließt Oracle im Virtualisierungsumfeld eine einzige Schwachstelle, die die VirtualBox betrifft.

Applications

Im Bereich Applications werden vor allem die Oracle E-Business Suite (EBS) sowie PeopleSoft, JD Edwards und Siebel CRM angefasst. Die kritischste Schwachstelle in diesem Bereich hat EBS mit einem CVSS-Wert von 6.4. Insgesamt bietet Oracle für die Suite neun Updates. Sieben davon betreffen Sicherheitslücken, die ohne Weiteres über ein Netzwerk genutzt werden können.

Gefolgt wird EBS von PeopleSoft. Von den 12 Sicherheitslücken, die mit dem CPU beseitigt werden, ermöglichen sieben das Einschleusen von Code aus der Ferne ohne Authentifizierung.

Für Siebel CRM sind 10 Updates vorgesehen, wovon fünf als kritisch zu betrachten sind. Zudem schließt Oracle auch eine kleine Lücke (CVSS von 2.1) in der Supply Chain Products Suite.

Hinweis: Das Risikopotenzial der Schwachstellen gibt Oracle im CPU (Critical Patch Update) mit dem CVSS 2.0 Base Score (Common Vulnerability Scoring System) an. 
Zurück zur Übersicht
Sicherheitslücke in Java: iJUG richtet Informationsseite ein und fordert mehr Transparenz
Sicherheitslücke behoben: Oracle veröffentlicht außerplanmäßiges Update