Oracle schließt 37 Schwachstellen in Java
Oracle schließt im Rahmen seines Critical Patch Update insgesamt 104 Sicherheitslücken in 34 seiner Produkte. Aktualisierungen betreffen die Datenbanken, Fusion Middleware, E-Business Suite, PeopleSoft, MySQL Server und Java SE.
Allein in Java hat der Konzern 37 Schwachstellen beseitigt. 29 davon betreffen die Clientseite, während sechs sowohl Client- als auch Server-Deployments von Java gefährden. Vier der Fehler sind mit der höchsten Warnstufe klassifiziert. Je eine weitere Anfälligkeit steckt im Javadoc Tool und in unpack200. Die Lücke mit der offiziellen Kennung CVE-2014-2398 kann aus der Ferne ausgenutzt werden und sollte daher schnellstmöglich per Update geschlossen werden, damit das System sicher bleibt.
Für MySQL Server 5.5 und 5.6 gibt es zwei Patches, die insgesamt 14 Schwachstellen beseitigen. Hier können Angreifer eine der Anfälligkeiten (CVE-2014-2413) über das Internet ausnutzen. Zwei Fixes stehen für Oracles Datenbanken 11g und 12c zur Verfügung. Die mit ihnen geschlossenen Lücken lassen sich nur nach Eingabe von Anmeldedaten aus der Ferne ausnutzen.
In der Fusion Middleware hat Oracle 20 Sicherheitslöcher gestopft. Die gefährlichsten von ihnen wurden mit 7,5 von 10 Punkten bewertet. Jede einzelne kann aus der Ferne ausgenutzt werden, 13 davon sogar ohne Eingabe von Anmeldedaten. Weitere Patches liegen für Hyperion, Supply Chain Product Suite, PeopleSoft Enterprise, Sun Systems Products Suite und Oracle Linux and Virtualization vor.
Eine vollständige Liste der von den Aktualisierungen betroffenen Produkte hat Oracle in seinem Advisory veröffentlicht. Das nächste vierteljährliche Critical Patch Update ist für den 15. Juli angesetzt. Die weiteren Termine sind 14. Oktober 2014, 20. Januar 2015 und 14. April 2015.
Download:
[mit Material von Björn Greif, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de