Der vor allem als Datenbankspezialist bekannte Software-Hersteller Oracle stellt in einem dreimonatlichen Turnus gebündelte Sicherheits-Updates für sein umfangreiches Produktportfolio bereit. Oracle nennt das Critical Patch Update (CPU). Beim aktuellen CPU-Tag im Januar hat Oracle 284 Schwachstellen beseitigt, das sind etwas weniger als zuletzt im Oktober . Neben einer umfangreichen Palette mit Unternehmens-Software sind auch Produkte betroffen, die auch für private Anwender interessant sind – etwa Java, VirtualBox und MySQL. Etliche der gestopften Lücken sind als kritisch eingestuft. Für diese Einstufung nutzt Oracle CVSS 3.0 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist.
Die meisten Lücken hat Oracle einmal mehr in Fusion Middleware geschlossen. Von den 62 Schwachstellen sind 57 ohne Benutzeranmeldung über das Netzwerk ausnutzbar. Der höchste CVSS-Score ist 9.8, den erreichen vier Lücken. Dahinter folgt die Sparte Kommunikationslösungen mit 33 gestopften Lücken. Hier sind 29 Lücken ohne Benutzeranmeldung über das Netzwerk ausnutzbar, acht dieser Schwachstellen erreichen den CVSS-Score 9.8. Die Datenbanklösung MySQL kommt auf 30 Sicherheitslücken, von den drei aus der Ferne ausnutzbar sind, darunter eine mit CVSS 9.1. Die Softwarelösungen für den Handel (Retail) kommen auf 16 beseitigte Sicherheitslücken, von denen 15 aus der Ferne ausnutzbar sind und fünf den CVSS-Score 9.8 erreichen.
In Peoplesoft-Produkten schließen die aktuellen Updates 20 Lücken, von denen 15 übers Netzwerk ausnutzbar sind und die schwerwiegendste Anfälligkeit den CVSS-Score 8.8 erzielt. Software für die Hotelbranche (Oracle Hospitality) kommt auf fünf Lücken, doch keine ist übers Netzwerk ausnutzbar, der höchste CVSS-Score ist 7.8. In seinen Produkten für Banken und Finanzdienstleister beseitigt Oracle diesmal neun Schwachstellen. Alle sind aus der Ferne ausnutzbar, darunter drei mit CVSS-Score 9.8.
Java
In Java SE (Standard Edition) hat Oracle lediglich fünf Sicherheitslücken zu beseitigen. Alle sind ohne Benutzeranmeldung über das Netzwerk ausnutzbar, der höchste CVSS-Score ist 6.1. Drei dieser Schwachstellen betreffen das aktuelle Java 11 und werden mit der neuen Version 11.0.2 behoben. Oracle positioniert Java 11 als LTS-Version (Long Term Support). Diese wird acht Jahre lang mit Updates versorgt.
Für Java 8 will Oracle noch mindestens bis Ende 2020 öffentlich verfügbare und kostenlose Updates liefern, allerdings nur noch für den persönlichen, privaten Gebrauch. Für die kommerzielle Nutzung endet die kostenlose Unterstützung mit diesem Januar-Update. Das nächste Update für Java 8 (8u211), das für den 16. April geplant ist, kommt mit einem neuen Lizenzmodell. Dieses bietet bei geschäftlicher Nutzung kostenpflichtige Updates für Java 8 im Abo.
Für private Anwender bleibt Java 8 also noch so lange erste Wahl, bis Software-Entwickler ihre Programme auf neuere Java-Versionen umstellen. Mit der neuen Version Java 8 Update 201 (8u201), schließen die Entwickler vier Lücken. Die ebenfalls erhältliche Version 8u202 (Java 8 Update 202) enthält zusätzliche Bug-Fixes, die nur für Java-Entwickler relevant sind, nicht für Anwender.
Mitte Dezember 2018 hat Oracle die neue Hauptversion 6.0.0 seiner Virtualisierungslösung VirtualBox veröffentlicht. Mit dem ersten Update auf Version 6.0.2 beseitigt der Hersteller 27 Sicherheitslücken. Der höchste CVSS-Score ist 8.8. Zwei der Lücken sind aus der Ferne ausnutzbar, auch ohne Benutzeranmeldung. Nur als lokal ausnutzbar ausgewiesene Schwachstellen könnten es Schadcode ermöglichen, aus einer virtuellen Maschine (Gastsystem) auszubrechen und auf Ressourcen des Host-Systems zuzugreifen. Der alte Versionszweig 5.2.x erhält ebenfalls noch ein Update. In der aktualisierten Version 5.2.24 hat Oracle noch eine Lücke mehr beseitigt als in 6.0.2.
Der nächste turnusmäßige Oracle CPU-Tag ist am 16. April 2019.
Quelle: Oracle Patch Day gegen 284 Sicherheitslücken - PC-WELT