Oracle behebt 19 Schwachstellen in Java
An seinem planmäßigen Patchday hat Oracle Sicherheits-Updates für insgesamt 169 Schachstellen ausgeliefert. Sie stecken in Produkten wie Java, den Datenbank-Servern, MySQL, Fusion Middleware und Enterprise Manager. Allein in Java SE (Standard Edition) wurden 19 Sicherheitslecks geschlossen. 14 davon können laut dem Anbieter “ohne Authentifizierung aus der Ferne ausgenutzt werden”.
Zu den von den Schwachstellen betroffenen Komponenten zählen Java SE in den Versionen 5 bis 8, Java SE Embedded 7 und 8 sowie JRockit. Von den Java-Lücken weisen vier die höchste Risikobewertung 10 von 10 auf, zwei weitere stuft Oracle mit 9,3 Punkten ebenfalls noch als sehr gefärhlich ein.
Mit den Aktualisierungen ändert Oracle zudem das Verhalten von Java SE bezüglich SSL. Wie das Unternehmen in einem Blogeintrag zum neuesten Critical Patch Update erläutert, wird SSL 3.0 ab sofort standardmäßig deaktiviert. Damit reagiert Oracle auf die Poodle (PDF) genannte Fehlfunktion in dem mehr als 15 Jahre alten Verschlüsselungsprotokoll. Bei allen anderen Produkten will man künftig ähnlich verfahren. Zwar können Java-SE-Clients und -Server manuell immer noch so konfiguriert werden, dass sie SSL 3.0 vorübergehend verwenden, doch langfristig empfiehlt Oracle den Umstieg auf robustere Protokolle wie TLS 1.2.
Für einige Versionen seiner Datenbank-Server hat das Unternehmen ebenfalls eine Reihe wichtiger Fixes bereitgestellt. Eine der acht Schachstellen wurde mit 9,0 von 10 Punkten bewertet, da sie die komplette Kompromittierung eines ungepatchten Servers unter Windows ermöglicht. Hierbei lässt sich allerdings kein Fehler ohne Authentifizierung aus der Ferne ausnutzen. Auch in Oracles Fusion-Middleware-Produkten stecken insgesamt 36 Schwachstellen, von denen 28 das Ausnutzen sogar ohne Eingabe von Anmeldedaten aus der Ferne ermöglichen. Zwei erlauben die vollständige Übernahme eines Servers.
Das vierteljährliche “Critical Patch Update” offeriert auch zehn Sicherheitsaktualisierungen für Oracles Enterprise Manager Grid Control. Auch in diesem Fall lassen sich alle nun behobenen Schwachstellen ohne Authentifizierung aus der Ferne ausnutzen. Gleiches gilt für zehn von insgesamt 29 behobenen Sicherheitslücken in der Sun Systems Product Suite. In Oracle MySQL werden insgesamt neun Lücken geschlossen, von denen Angreifer drei ohne Authentifizierung aus der Ferne ausnutzen können.
Auch für die Oracle-Anwendungen E-Business Suite, Supply Chain Suite, PeopleSoft Enterprise, JDEdwards EnterpriseOne, Siebel CRM, iLearning, Communications, Retail und Health Sciences sind neue Updates erschienen. Zum letzten Patchday im Oktober hatte Oracle 154 Sicherheitslecks in seinen Produkten gestopft. Die nächsten Critical Patch Updates sind für 14. April, 14. Juli und 20. Oktober diesen Jahres geplant.
[mit Material von Björn Greif, ZDNet.de]
Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.