Oracle stopft über 300 Sicherheitslücken

  • TIPP

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Oracle stopft über 300 Sicherheitslücken

    Oracle hat seine neuesten Quartals-Updates veröffentlicht. Sie beseitigen 301 Schwachstellen in der Oracle-Produktpalette, etwa in Java, MySQL und VirtualBox.

    Der US-amerikanische Software-Hersteller Oracle stellt in einem dreimonatlichen Turnus gebündelte Sicherheits-Updates für sein umfangreiches Produktportfolio bereit.
    Oracle nennt das Critical Patch Update (CPU).
    Beim aktuellen CPU-Tag im Oktober hat Oracle 301 Schwachstellen beseitigt, das sind etwas weniger als im Juli.
    Neben einer umfangreichen Palette mit Unternehmens-Software sind auch Produkte betroffen, die für private Anwender ebenfalls interessant sind – etwa Java, VirtualBox und MySQL.
    Etliche der gestopften Lücken sind als kritisch eingestuft. Für diese Einstufung nutzt Oracle CVSS 3.0 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist.

    Die meisten Lücken hat Oracle in Fusion Middleware geschlossen. Von den 65 Schwachstellen sind 56 ohne Benutzeranmeldung über das Netzwerk ausnutzbar.
    Der höchste CVSS-Score ist 9.8, den 12 Lücken erreichen.
    Dahinter folgt MySQL mit 38 gestopften Lücken. Hier sind drei Lücken ohne Benutzeranmeldung über das Netzwerk ausnutzbar, zwei dieser Schwachstellen erreichen den CVSS-Score 9.8.
    Die Softwarelösungen für den Handel (Retail) kommen wie schon im Juli auf 31 beseitigte Sicherheitslücken, von denen 21 aus der Ferne ausnutzbar sind und 13 den CVSS-Score 9.8 erreichen.

    In Peoplesoft-Produkten schließen die aktuellen Updates 24 Lücken, von denen 21 übers Netzwerk ausnutzbar sind und die schwerwiegendste Anfälligkeit den CVSS-Score 7.5 erzielt.

    Software für die Hotelbranche (Oracle Hospitality) kommt auf neun Lücken, zwei davon ausnutzbar, der höchste CVSS-Score ist 8.8.

    In seinen Produkten für Banken und Finanzdienstleister beseitigt Oracle diesmal nur zwei Schwachstellen. Beide sind aus der Ferne ausnutzbar, die CVSS-Scores sind 8.1 und 6.1.

    Java
    In Java SE (Standard Edition) hat Oracle insgesamt 12 Sicherheitslücken zu beseitigen. Alle bis auf eine sind ohne Benutzeranmeldung über das Netzwerk ausnutzbar, der höchste CVSS-Score ist 9.0.
    Zehn dieser Schwachstellen betreffen das im September an den Start gebrachte Java 11 und werden mit der neuen Version 11.0.1 behoben.
    Oracle positioniert Java 11 als LTS-Version (Long Term Support). Diese wird acht Jahre lang mit Updates versorgt.

    Alle sechs Monate soll ein Funktions-Update erscheinen, bei dem die Hauptversionsnummer hochgezählt wird. Alle drei Jahre will Oracle eine neue LTS-Version ausliefern. Java 10 wurde durch Java 11 abgelöst underhält keine Updates mehr.

    Für Java 8 will Oracle hingegen noch mindestens bis Januar 2019 öffentlich verfügbare und kostenlose Updates liefern, auch für den Unternehmenseinsatz.
    Für den persönlichen Gebrauch dehnt Oracle diese Fristverlängerung sogar bis Ende 2020 aus.
    Für Anwender bleibt Java 8 also noch so lange erste Wahl, bis Software-Entwickler ihre Programme auf neuere Java-Versionen umstellen.
    Mit der neuen Version Java 8 Update 191 (8u191) schließen die Entwickler zehn Lücken – überwiegend die gleichen wie in Java 11.

    Mit der neuen Version 5.2.20 seiner Virtualisierungslösung VirtualBox hat der Hersteller 14 Sicherheitslücken beseitigt. Der höchste CVSS-Score ist 9.0.
    Zwei der Lücken sind aus der Ferne ausnutzbar, eine der beiden auch ohne Benutzeranmeldung. Nur als lokal ausnutzbar ausgewiesene Schwachstellen könnten es Schadcode ermöglichen, aus einer virtuellen Maschine (Gastsystem) auszubrechen und auf Ressourcen des Host-Systems zuzugreifen.

    Mit den vier CPU-Tagen dieses Jahres hat Oracle insgesamt mindestens 1126 Sicherheitslücken beseitigt.
    Interner Spitzenreiter ist dabei Fusion Middleware mit 175 gestopften Lücken.
    Es folgen Financial Services Applications mit 128 sowie MySQL mit 127 Schwachstellen.
    In Java hat Oracle 55 Sicherheitslücken geschlossen, in VirtualBox sind es 46.

    Der nächste turnusmäßige Oracle CPU-Tag ist am 15. Januar 2019.

    Quelle: Oracle stopft über 300 Sicherheitslücken - PC-WELT