Der amerikanische Software-Hersteller Oracle hält seinen Patch Day alle drei Monate ab. Oracle spricht dabei von „Critical Patch Updates“ (CPU). Waren es im April noch 297 geschlossene Sicherheitslücken, beseitigt Oracle beim dritten CPU-Tag des Jahres noch ein paar mehr Schwachstellen: 319. Etliche der gestopften Lücken sind als kritisch eingestuft. Für diese Einstufung nutzt Oracle CVSS 3.0 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist.
Diesmal hat Oracle die meisten Lücken in seinen Produkten für Finanzdienstleister geschlossen. Von den 60 Schwachstellen sind 50 ohne Benutzeranmeldung über das Netzwerk ausnutzbar. Der höchste CVSS-Score ist 9.8, den 12 Lücken erreichen. Dann folgt bereits der bekannte quelloffene Datenbank-Server MySQL mit 45 gestopften Lücken. Darunter sind nur vier, die ohne Benutzeranmeldung über das Netzwerk ausnutzbar sind. Eine Schwachstelle setzt den höchsten CVSS-Score mit 9.8.
Fusion Middleware erhält Updates gegen 33 Sicherheitslücken, von denen 28 ohne Anmeldung per HTTP übers Netzwerk ausnutzbar sind. Vier der Schwachstellen erreichen den CVSS-Score 9.8. Die Kommunikationsanwendungen kommen auf 24 gestopfte Lücken mit einem CVSS-Score bis zu 9.8, den acht Schwachstellen erreichen. Ohne Anmeldung aus der Ferne ausnutzbar sind 21 Lücken. Mit 21 Sicherheitslücken folgen die Software-Lösungen für den Handel (Retail). Darunter sind 14 übers Netzwerk ausnutzbare Schwachstellen, von denen drei den CVSS-Score 9.8 erreichen.
Die neueste Java-Generation 12 erhält sie mit Java 12.0.2 das zweite und voraussichtlich letzte Sicherheits-Update. Es beseitigt acht Lücken, die aus der Ferne ausnutzbar sind (CVSS 6.8). Java 12 wird bereits im September durch Java 13 abgelöst. Im Gegensatz dazu wird der Vorgänger Java 11 acht Jahre lang mit Updates versorgt. Java 11 ist eine so genannte LTS-Version (Long Term Support). Die neueste Version 11.0.4 beseitigt neun Lücken.
Für Anwender bleibt weiterhin nur Java 8 relevant, das für den privaten Einsatz noch bis mindestens Ende 2020 mit kostenlos erhältlichen Sicherheits-Updates versorgt wird. Kommerzielle Verwender müssen hingegen inzwischen für diese Updates zahlen. Die neueste Version Java 8 Update 221 (8u221) beseitigt acht Schwachstellen. Darunter sind sieben Lücken, die ohne Benutzeranmeldung übers Netzwerk ausnutzbar sind. Eine erreicht den CVSS-Score 6.8.
Die quelloffene Virtualisierungslösung VirtualBox ist in der neuen Version 6.0.10 verfügbar. Darin hat Oracle 14 Lücken gestopft, von denen eine den CVSS-Score 8.8 erreicht. Eine andere Lücke ist ohne Benutzeranmeldung aus der Ferne ausnutzbar – sie betrifft OpenSSL. Die eine oder andere Schwachstelle könnte geeignet sein, um aus der virtuellen Maschine auszubrechen und Code auf dem Host-System auszuführen. Der ältere Versionszweig 5.2.x erhält ein Update auf Version 5.2.32, das die gleichen Schwachstellen behebt.
Der nächste turnusmäßige Oracle CPU-Tag ist am 15. Oktober 2019.
Quelle: Oracle beseitigt über 300 Schwachstellen - PC-WELT
