Oracle beseitigt schwerwiegende Schwachstellen in Java SE und MySQL
Im Rahmen seines April-Patchdays verteilt das Unternehmen Patches für neun Java-Anfälligkeiten. Eine der Lücken ermöglicht das Einschleusen von Schadcode aus der Ferne ohne Interaktion mit einem Nutzer. In seinen anderen Produkten schließt Oracle weitere 127 Sicherheitslücken.
Im Rahmen seines April-Patchdays hat Oracle seiner Java-API-Sammlung Java SE ein Update spendiert. Dieses beseitigt neun Schwachstellen, vier davon bewertet das Unternehmen im zehnstufigen Common Vulnerability Scoring System (CVSS) mit mindestens 9 Punkten. Sie ermöglichen das Einschleusen und Ausführen von Schadcode aus der Ferne. In einem Fall ist dies sogar ohne Interaktion mit einem Anwender möglich.
Die Lücken betreffen Java SE 6 Update 113, Java SE 7 Update 99 und Java SE 8 Update 77 für Windows, Mac OS X und Linux. Ebenso verwundbar sind Java SE Embedded 8 Update 77 sowie JRockit Release 28.3.9.
Oracle rät seinen Kunden daher, auf die fehlerbereinigten Versionen Java SE 8 Update 91 oder 92 zu wechseln. Aktualisierungen für die älteren Versionen Java SE 6 und 7 macht das Unternehmen allerdings nur noch für jene Kunden verfügbar, die Java-Support erworben haben. Die Patches werden über die Java-Website sowie die automatische Update-Funktion von Java für Windows und Mac OS X ausgeliefert.
In der Summe behebt Oracle 136 Schwachstellen in seinen Produkten. So erhalten Anwender unter anderem auch Fixes für verschiedene Varianten von Oracles Datenbank-Servern. In Oracle Fusion Middleware wurden 22 Lücken geschlossen – sieben dieser Anfälligkeiten sind mit 9,8 Punkten bewertet.
Ebenso sollten Anwender von Enterprise Manager Grid, der E-Business-Suite und der Supply Chain Products die von Oracle offerierten Patches einspielen. Überdies aktualisiert Oracle die PeopleSoft-, Siebel-, Sun-Systems- und JD-Edwards-Produkte.
In MySQL wurden allerdings die meisten Fehler behoben. Insgesamt 32 Lücken finden sich in den Versionen 5.7.10 sowie 5.7.11 und früher. Drei davon können ohne Authentifizierung aus der Ferne ausgenutzt werden.
Viermal im Jahr schließt Oracle Sicherheitslücken in seinen Produkten. Im Januar waren es alles in allem 248. Der nächste reguläre Patchday findet am 19. Juli statt.
Download:
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de