Oracle schließt 169 Sicherheitslücken

  • Erstellt von DOAG Online
  • Themen, Datenbank, Infrastruktur, Java, E-Business Suite, JD Edwards, CRM, Hyperion, Security, MySQL & weitere Datenbanken, Primavera

Mit der Veröffentlichung des ersten Critical Patch Update (CPU) in diesem Jahr beseitigt Oracle 169 Sicherheitslücken über beinahe die gesamte Produktpalette hinweg. Besonders betroffen sind Java und die Oracle E-Business Suite. Admins sollten die Updates schnellstmöglich installieren, um Sicherheitsrisiken zu minimieren, so die Empfehlung von Oracle.

Mit der Veröffentlichung des ersten Critical Patch Update (CPU) in diesem Jahr beseitigt Oracle 169 Sicherheitslücken über beinahe die gesamte Produktpalette hinweg. Besonders betroffen sind Java und die Oracle E-Business Suite. Admins sollten die Updates schnellstmöglich installieren, um Sicherheitsrisiken zu minimieren, so die Empfehlung von Oracle.

Die von Oracle veröffentlichte Liste der betroffenen Produkte im Oracle Critical Patch Update Advisory ist lang. Neben Java und der Oracle E-Business Suite sind unter anderem auch die Oracle Database, Fusion Middleware, Enterprise Manager, MySQL, JD Edwards und Siebel CRM betroffen. Fünf der Sicherheitslücken sind mit der höchsten Gefahrenstufe 10.0 nach dem Common Vulnerability Scoring System (CVSS) versehen, vier davon betreffen Java.

Insgesamt ist Java von 19 Sicherheitsupdates betroffen – laut Oracle ist dies für die Technologie ein historischer Tiefstand. Weiterhin gab Oracle bekannt, dass mit diesem Update die Verwendung von SSL 3.0 standardmäßig deaktiviert wird. Stattdessen sollten Kunden auf TLS umsteigen. Das nächste CPU im April wird übrigens das letzte für Java 7 sein.

Als besonders kritisch erwies sich auch eine Lücke in Oracles E-Business Suite, die es Angreifern erlaubte, die Kontrolle über die Software zu übernehmen.

Die weiteren Sicherheitsupdates im Überblick

In der Oracle-Datenbank wurden acht Schwachstellen geschlossen, jedoch ermöglichte keine der Sicherheitslücken einen unbefugten Zugriff über das Netzwerk. Der höchste CVSS-Score betrug hier 9.0.

Von 36 Schwachstellen in Oracles Fusion-Middleware-Produkten erlauben 28 das Ausnutzen ohne Authentifizierung aus der Ferne. Der CVSS-Score der am höchsten eingestuften Sicherheitslücke betrug 9.3.

Für MySQL sieht Oracle neun Aktualisierungen vor. Drei dieser Lücken konnten ohne Authentifizierung aus der Ferne ausgenutzt werden. Die höchste Risikobewertung liegt hier bei 7.4.

Auch für seine Virtualisierungsprodukte stellt Oracle elf Updates bereit, die insbesondere die VirtualBox und den Secure Global Desktop betreffen.

Zurück zur Übersicht
Die Berater in der Datenbank: die Advisors
Oracles neue Generation von Engineered Systems kommt mit neuer Preisstrategie