Zum Inhalt springen
  • ijug Java
  • 19.01.2016

Oracle Critical Patch Update Januar 2016: Der Konzern schließt 248 Schwachstellen in Oracle-Produkten

Mit der Veröffentlichung des vierteljährlichen Critical Patch Updates (CPU) stellt Oracle heute insgesamt 248 Sicherheitsupdates für hunderte von Oracle-Produkten zum Download bereit. Der Patch umfasst zahlreiche Oracle-Produktfamilien: Datenbank, Middleware, Applikationen, Enterprise Management, Java und Virtualisierung.

Mit der Veröffentlichung des vierteljährlichen Opens external link in new windowCritical Patch Updates (CPU) stellt Oracle heute insgesamt 248 Sicherheitsupdates für hunderte von Oracle-Produkten zum Download bereit. Der Patch umfasst zahlreiche Oracle-Produktfamilien: Datenbank, Middleware, Applikationen, Enterprise Management, Java und Virtualisierung.

Die kritischsten Schwachstellen mit der höchsten Gefahrenstufe 10.0 nach dem Common Vulnerability Scoring System (CVSS) schließt der Konzern bei Java SE und GoldenGate. Der Konzern empfiehlt ein schnelles Update aller betroffenen Produkte, da viele der Lücken ohne Authentifizierung ausgenutzt werden können.

E-Business Suite und Database Server
Die meisten Updates betreffen die Oracle E-Business Suite mit 78 Aktualisierungen. Davon lassen sich ganze 69 Lecks unautorisiert ausnutzen. Die höchste Gefahrenstufe nach dem Common Vulnerability Scoring System (CVSS) ist 6.4.

Für den Datenbank-Server werden sieben Sicherheitslücken geschlossen – jedoch kann keine dieser Schwachstellen von Angreifern über das Netzwerk ohne Authentifizierung missbraucht werden. Der höchste CVSS-Wert beträgt dennoch 9.0. Betroffen sind Database Vault, Java VM, Security, Workspace Manager, XDB – XML Database und XML Developer's Kit for C.

Fusion Middleware und Java SE
Für die Fusion Middleware stellt Oracle 27 neue Fixes bereit. Hier wird die höchste Sicherheitseinstufung von 7.5 erreicht – 17 Sicherheitslücken erlauben einen unautorisierten Zugriff ohne Benutzernamen und Passwort.

Java SE wird sogar mit einer Sicherheitseinstufung von 10.0 belegt, sieben der acht Sicherheitslücken begünstigen einen unautorisierten Zugriff. Betroffen sind Java SE, Java SE Embedded und JRockit.

Oracle MySQL und Sun Systems Products Suite
Auch für MySQL stellt Oracle 22 Patches bereit. Eine Schwachstelle davon kann von Angreifern ohne weiteres ausgenutzt werden. Der höchste CVSS-Wert beträgt 7.2. Die Sun Systems Products Suite ist ebenfalls vom Critical Patch Update betroffen – 23 Fixes werden bereitgestellt, davon sieben mit besonders hohem Risiko durch unautorisierten Zugriff.

Weitere vom Patch betroffene Produkte sind JD Edwards, Supply Chain, Enterprise Manager Grid Control, PeopleSoft Products, iLearning, Communications Applications, Retail Applications und Virtualization. Das nächste Critical Patch Update wird Oracle im April 2016 veröffentlichen.