Oracle behebt 113 gravierende Sicherheitslücken

SicherheitSicherheitsmanagementSoftware
oracle-schriftzug

Das Unternehmen empfiehlt, alle Updates schnellstmöglichst einzuspielen. In Java SE finden sich alleine 20 der nun gefixten Sicherheitslücken, eine mit der höchsten Risikoeinstufung. In MySQL beseitigt Oracle zehn, in Fusion Middleware 29 Schwachstellen. Sie lassen sich von Angreifern teilweise sogar ohne Eingabe von Anmeldedaten aus der Ferne ausnutzen.

Oracle hat ein Critical Patch Update bereitgestellt, mit dem insgesaamt 113 Sicherheitslücken in 44 seiner Produkte geschlossen worden. Dazu gehören neben Java unter anderem die Datenbanken, Fusion Middleware, Hyperion, die E-Business Suite, PeopleSoft, Siebel CRM, MySQL und Solaris

Oracle behebt 113 gravierende Sicherheitslücken

In der Java Standard Edition musste Oracle 20 Schwachstellen beseitigen, eine davon sogar mit der höchstmöglichen Risikobewertung 10. Sieben weitere werden auf der Skala immerhin noch mit 9,3 eingestuft. Dem Unternehmen zufolge können alle Lücken von Anfgreifern ohne Authentifizierung aus der Ferne ausgenutzt werden und sollten daher schnellstmöglich per Update geschlossen werden.

Für MySQL Server 5.5 und 5.6 gibt es zehn Patches. Keine der damit geschlossenen Lücken ermöglicht Remotezugriff. Fünf Fixes stehen für Oracles Database Server zur Verfügung. Nur eine Anfälligkeit lässt sich ohne Eingabe von Anmeldedaten aus der Ferne ausnutzen. Keine der Schwachstellen findet sich in reinen Client-Installationen.

Die meisten Sicherheitslücken – nämlich 29 – hat Oracle in seiner Fusion Middleware gestopft. Die gefährlichsten davon wurden mit 7,5 von 10 Punkten bewertet. Fast alle (27) lassen sich ohne Eingabe von Anmeldedaten aus der Ferne ausnutzen.

Für Hyperion sind sieben Fixes, für Siebel CRM sechs, für PeopleSoft und E-Business Suite je fünf und für Solaris vier Fixes verfügbar. Weitere Patches liegen für Supply Chain Product Suite, Communications Applications, Retail Industry Suite, Sun Systems Products Suite sowie Oracle Linux and Virtualization vor. Aufgrund des von einigen der Schwachstellen ausgehenden Risikos sollte das Critical Patch Update ohne Verzögerung aufgespielt werden.

Eine vollständige Liste der betroffenn Produkte führt Oracle in seinem Security-Advisory auf. Das nächste vierteljährliche Critical Patch Update ist für den 14. Oktober geplant. Weitere sollen dann amd 20. Januar und 14. April 2015 folgen.

[mit Material von Björn Greif ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen