Oracle dichtet am Patchday 88 Lücken ab

Oracle hat anlässlich seines Quartalspatchdays insgesamt 88 sicherheitsrelevante Updates herausgegeben; das sind 10 mehr als beim letzten Mal. Ein Update für die Java-VM JRockit schließt dabei sogar eine oder mehrere Lücken mit dem höchstmöglichen Schweregrad (CVSS) von 10.0, Lücken mit einem CVSS von 9.0 wurden in der Grid Engine und der Windows-Ausgabe der Database-Komponente Spatial geschlossen. Alle weiteren Schwachstellen haben einen CVSS von 7.5 oder darunter.

Insgesamt betreffen 6 Updates direkt den Oracle Database Server, 6 weitere im Enterprise Manager Grid Control, von denen sich vier aus der Ferne ohne Authentifizierung ausnutzen lassen, können ihn indirekt betreffen. 11 der Patches betreffen die Oracle Fusion Middleware, einige davon schließen Lücken in der Java-Laufzeitumgebung, die auch JRockit betreffen. Zudem wurden unter anderem 17 Updates für Oracle Flexcubes,15 für PeopleSoft Enterprise und 6 für Oracle MySQL veröffentlicht. Auch Solaris hat das Unternehmen nachgebessert. Eine vollständige Übersicht findet man in dem Advisory.

Die Details zu dem Lücken hält Oracle zumeist unter Verschluss, um seine Kunden nicht unnötig in Gefahr zu bringen. Bei einem Update des Datenbankservers MySQL im März ist das dem Unternehmen allerdings nicht wie geplant geglückt: Es hat wie The H berichtet versehentlich einen Proof-of-Concept-Exploit mit veröffentlicht, mit dem man MySQL lahmlegen konnte (Denial of Service). Die Einsatzmöglichkeiten sind jedoch beschränkt: Um den Exploit anzuwenden, benötigt man Zugangsdaten zum Server mit ausreichenden Rechten. (rei)