Zum Inhalt springen
  • Von: DOAG Online
  • Themen Business Solutions
  • 13.01.2014

Oracle schließt beim morgigen CPU 144 Sicherheitslücken

Morgen ist es wieder soweit: Oracle veröffentlicht sein traditionelles Critical Patch Update (CPU) und schließt somit voraussichtlich 144 Sicherheitslücken. Besonders vom Update betroffen sind Java SE, die Fusion Middleware, MySQL, Oracle Supply Chain und PeopleSoft. Da viele dieser Lecks ohne Authentifizierung ausgenutzt werden können, empfiehlt das Software-Unternehmen eine schnelle Einspielung des CPUs.

Morgen ist es wieder soweit: Oracle veröffentlicht sein traditionelles Critical Patch Update (CPU) und schließt somit voraussichtlich 144 Sicherheitslücken. Besonders vom Update betroffen sind Java SE, die Fusion Middleware, MySQL, Oracle Supply Chain und PeopleSoft. Da viele dieser Lecks ohne Authentifizierung ausgenutzt werden können, empfiehlt das Software-Unternehmen eine schnelle Einspielung des CPUs.

Was den Datenbank-Server anbelangt, so werden fünf Löcher in Oracle 11gR1 (11.1.0.7), 11gR2 (11.2.0.3 und 11.2.0.4) und 12cR1(12.1.0.1) gestopft. Nur eine der Schwachstellen können Angreifer über das Netzwerk ohne Authentifizierung missbrauchen. Die Aktualisierungen betreffen das Core-RDBMS sowie Spatial.

Die Fusion Middleware ist durchaus ernster betroffen: Insgesamt stellt Oracle 22 Aktualisierungen für die Releases 11.1.1.6, 11.1.1.7, 11.1.2.0, 11.1.2.1 und 12.1.2 zur Verfügung, wovon 19 sich unautorisiert ausnutzen lassen. In diesem Bereich wird die höchste Risikoeinstufung (CVSS 2.0) von 10.0 erreicht. Betroffen sind unter anderem Oracle Enterprise Data Quality, Oracle GlassFish Server, Oracle HTTP Server, Oracle Identity Manager sowie Oracle Webcenter.

In Puncto Java SE stellt das Unternehmen 36 Patches bereit, die Sicherheitslücken in Java SE. Auch da wird die höchste Sicherheitseinstufung erreicht. Darüber hinaus ermöglichen 34 von ihnen einen unautorisierten Zugriff ohne Benutzernamen und Passwort. Änderungen sind für Java JDK und JRE 5 bis 7, Java SE Embedded 7, JavaFX 2 sowie JRockit beheben.

Für MySQL liefert Oracle 18 Aktualisierungen, die MySQL Enterprise Monitor (Versionen 2.3 und 3.0) sowie den MySQL-Server (Versionen 5.1, 5.5 und 5.6) betreffen. Obwohl nur vier von den Aktualisierungen einen unautorisierten Angriff über das Netzwerk vermeiden sollen, hat auch da Oracle die CVSS.Note von 10.0 vergeben müssen.

Mit elf Sicherheitslücken ist im Bereich Infrastruktur Solaris in den Versionen 8 bis 11.1 auch vom CPU betroffen. Die Virtualisierungsprodukte beziehungsweise Oracle Secure Global Desktop (SGD) und Oracle VM VirtualBox werden indes mit neun Aktualisierungen ausstaffiert.

Das CPU wirkt sich auch auf die Geschäftsanwendungen aus: Oracle versorgt Oracle Produktreihe Supply Chain mit insgesamt 16 Patches, vowon sechs einen Angriff über das Netzwerk ohne Authentifizierung verhindern. Das Unternehmen hat in den PeopleSoft-Produkten 17 Sicherheitslücken identifiziert. Zehn von ihnen können ohne weiteres von Angreifern ausgenutzt werden. Vier Pflaster gibt es für die E-Business Suite, während Hyperion zwei Fixes bekommt. Darüber hinaus werden in Oracle iLearning sowie in Oracle Financial Services jeweils eine Lücke geschlossen.