Zum Inhalt springen

Oracle Critical Patch Update Oktober 2015: Der Konzern schließt 153 Schwachstellen in Oracle-Produkten

Mit der Veröffentlichung des vierteljährlichen Critical Patch Updates (CPU) wird Oracle morgen voraussichtlich insgesamt 153 Sicherheitsupdates für hunderte von Oracle-Produkten zum Download bereitstellen.

Mit der Veröffentlichung des vierteljährlichen Critical Patch Updates (CPU) wird Oracle morgen voraussichtlich insgesamt 153 Sicherheitsupdates für hunderte von Oracle-Produkten zum Download bereitstellen.

Die kritischsten Schwachstellen mit der höchsten Gefahrenstufe 10.0 nach dem Common Vulnerability Scoring System (CVSS) schließt der Konzern beim Oracle Database Server, den Communications Applications, Java SE, der Sun Systems Produkt-Suite und dem Oracle Pillar Axiom. Das Software-Unternehmen empfiehlt ein schnelles Update aller betroffenen Produkte, da viele der Lücken ohne Authentifizierung ausgenutzt werden können.

Java SE und Database Server

Die meisten Updates betreffen Java SE mit 25 Aktualisierungen. Davon lassen sich ganze 24 Lecks unautorisiert ausnutzen. Die höchste Gefahrenstufe nach dem Common Vulnerability Scoring System (CVSS) ist 10.0.

Für den Datenbank-Server werden sieben Sicherheitslücken der Versionen 11.1.0.7, 11.2.0.3, 11.2.0.4, 12.1.0.1 und 12.1.0.2 geschlossen. Eine dieser Schwachstellen können Angreifer über das Netzwerk ohne Authentifizierung missbrauchen. Betroffen sind der Database Scheduler, Java VM, Portable Clusterware, RDBMS und die XDB - XML Database. Der höchste CVSS-Wert beträgt auch hier 10.0.

Communications Applications und Sun Systems Product Suite

Für die Communications Applications stellt Oracle neun Patches bereit. Gleichfalls wird hier die höchste Sicherheitseinstufung von 10.0 erreicht – acht der neun Sicherheitslücken erlauben einen unautorisierten Zugriff ohne Benutzernamen und Passwort.

Auch die Sun Systems Products Suite ist mit einer Sicherheitseinstufung von 10.0 belegt, denn vier der 15 Sicherheitslücken begünstigen einen unautorisierten Zugriff. Betroffen sind Fujitsu M10-1, M10-4, M10-4S Servers, Integrated Lights Out Manager (ILOM) und Solaris.

Oracle FS1-2 Flash Storage System
Eine Komponente des Oracle Pixar Axioms ist vom Critical Patch Update betroffen: Die Schwachstelle im Oracle FS1-2 Flash Storage System kann von Angreifern ohne weiteres ausgenutzt werden und weist deshalb ebenfalls einen CVSS-Wert von 10.0 auf.

Weitere vom Patch betroffene Produkte sind Database Mobile/Lite Server, Fusion Middleware, Hyperion, Enterprise Manager Grid Control, E-Business Suite, Supply Chain Products Suite, PeopleSoft Products, Siebel CRM, Industry Applications, Retail Applications, Oracle Virtualization und MySQL.

Das nächste Critical Patch Update wird Oracle im Januar 2016 veröffentlichen.