Oracle hat mit der Veröffentlichung seines vierteljährlichen Critical Patch Update (CPU) insgesamt 98 Sicherheitsupdates herausgebracht. Davon betroffen sind unter anderem die Oracle-Datenbank, Java, Fusion Middleware, MySQL sowie die Geschäftsapplikationen. Um böswilligen Angriffen vorzubeugen, sollten die Updates zeitnah eingespielt werden.
Allein 14 der 98 Schwachstellen entfallen auf Java. Viele davon können über das Netzwerk ausgenutzt werden, weshalb man die Patches so schnell wie möglich installieren sollte. Drei der Sicherheitslücken sind mit der höchsten Gefahrenstufe 10.0 nach dem Common Vulnerability Scoring System (CVSS) als hochkritisch bewertet.
Das Update schließt zudem letztmalig die Lücken der älteren Java-Version 7. Nach April 2015 stellt Oracle hierfür keine Updates mehr bereit. Der Hersteller empfiehlt daher die Umstellung auf Java 8.
Vier Sicherheitslücken in der Oracle-Datenbank
Mit dem Update werden auch vier Schwachstellen in der Oracle-Datenbank geschlossen. Keine von ihnen ermöglicht jedoch einen unbefugten Zugriff über das Netzwerk. Der höchste CVSS-Score beträgt 9.0.
In MySQL stopft Oracle ganze 26 Lücken, von denen vier ohne Anmeldung über das Netzwerk ausgenutzt werden können und damit den höchstkritischen CVSS-Score von 10.0 erhalten.
Von 17 Schwachstellen in Oracles Fusion-Middleware-Produkten erlauben zwölf das Ausnutzen ohne Authentifizierung aus der Ferne. Der CVSS-Score der am höchsten eingestuften Sicherheitslücke beträgt 10.0.
Auch für seine Applications stellt Oracle Patches bereit: In der E-Business Suite schließt der Hersteller vier Lücken, in JD Edwards und Siebel CRM jeweils eine Schwachstelle.
Das nächste Critical Patch Update wird Oracle im Juli veröffentlichen.
