Admins, die in Unternehmen Software von Oracle betreuen, sollten die Meldung des Software-Anbieters genau studieren, um keine Sicherheitspatches zu verpassen. Eigenen Angaben zufolge hat Oracle insgesamt 334 Updates veröffentlicht.
In der aktuellen Meldung zum quartalsweise erscheinenden Critical Patch Update kann man nachlesen, welche Software-Versionen bedroht und welche abgesichert sind. Auch wenn Oracle derzeit noch keine Attacken bekannt sind, sollten Admins zügig handeln und ihre Software auf den aktuellen Stand bringen.
Besonders gefährliche Schwachstellen
Als "kritisch" eingestufte Sicherheitslücken gefährden unter anderem Clinical, Coherence, Communications Instant Messaging Server, Enterprise Manager Ops Center, GraalVM Enterprise Edition, Human Resources, Hyperion Planing, JD Edwards EnterpriseOne Orchestrator, PeopleSoft Enterprise People Tools, Primavera Gateway, Retail Assortment Planning, Siebel Engineering – Installer & Deployment und WebLogic Server.
In vielen Fällen könnten sich hier entfernte und nicht an Systemen angemeldete Angreifer Zugriff verschaffen und Schadcode ausführen. Ist das erfolgreich, übernehmen Angreifer in der Regel die volle Kontrolle.
Das nächste Quartalsupdate ist für 14. April 2020 geplant.
Quelle: Critical Patch Update: Oracles Update-Paket schließt 334 Lücken | heise online
Update: 16.01.2020
Bundesamt warnt vor Java: Aktuelles Update unbedingt schnell laden
Wer Java noch braucht, etwa aus beruflichen Gründen oder weil einige Programme immer noch Java voraussetzen, sollte die aktuelle Java-Version installieren. Am Update führt eigentlich kein Weg vorbei: Es schließt mehrere kritische Sicherheitslücken.
Java-Update dringend empfohlen
Oracle hat eine neue Version der Java Runtimes veröffentlicht: Für Windows, macOS und Linux gibt es ab sofort Java 8 Update 241. Das Java SDK wurde auf Version 13.0.2 aktualisiert.
Das Update umfasst normale Fehlerbehebungen und schließt verschiedene Sicherheitslücken, vor denen auch das Bundesamt für Sicherheit (BSI) warnt. So sollen "entfernte, anonyme Angreifer mehrere Schwachstellen in Oracle Java ausnutzen können, um die Verfügbarkeit, Vertraulichkeit und Integrität zu gefährden". Der Sicherheitshinweis wird mit Risikostufe 4 ("Hoch") eingestuft.
Allen Nutzern von Java wird dringend empfohlen, die aktuellste Java-Version zu installieren. Java bringt einen integrierten Updater mit, über den das Update eingdspielt werden kann. Alternativ greifen Sie zu den folgenden Downloads, um die Updates händisch einzuspielen.
Besser als das Update: Deinstallation
Noch besser als ein Update ist die Deinstallation von Java: Die Laufzeitumgebung ist immer wieder Einfallstor für Schadsoftware. Dass es auch nach dem Update noch offene Sicherheitslücken gibt, ist wahrscheinlich; wie viele es sind, weiß niemand.
Nachteile drohen kaum mehr, wenn man nicht zu den genannten Gruppen gehört, die noch auf Java-Programme angewiesen sind. Im Web findet Java laut W3Techs mittlerweile nur noch auf unter 0,02 Prozent aller Webseiten Anwendung.
Quelle: Bundesamt warnt vor Java: Update verfügbar - CHIP