Oracles Juli-Update mit Heartbleed-Fix und einem Déjà-vu
Die Firma schließt mit ihrem monatlichen Critical Patch Update (CPU) diesmal 113 Lücken. Eine ganze Reihe davon ist kritisch. Ein Bug wurde zum zweiten Mal ausgemerzt.
- Fabian A. Scherschel
Oracles vierteljährliche Patchupdates betreffen die gesamte Produktpalette des Unternehmens, von Oracle Database bis zum Open-Source-Projekt VirtualBox. Auch Java erhält 20 Patches; eine ganze Reihe davon werden als kritisch eingestuft. Oracle weist besonders auf ein Update für MySQL Enterprise Server hin, da es eine Heartbleed-Lücke schließt – über drei Monate nachdem der Horror-Bug öffentlich wurde.
Einen weiteren interessanten Patch hat Daniel Wesemann vom Internet Storm Center entdeckt. Ein Bug mit dem XML-Parser in Oracle Database wurde vor einem Jahr schon mal geschlossen (CVE-2013-3751) – in der Version 11.2 der Datenbank. Es scheint ein volles Jahr gedauert zu haben, bis die Entwickler den entsprechenden Patch auf die neue Version 12.1 portiert haben. Wesemanns Fazit: "Das spricht Bände über das Software-Entwicklungs-Modell und die Sicherheitsrichtlinien bei Oracle." Dass der Bug die höchst mögliche Dringlichkeit nach der CVSS-Risikoeinschätzung hat, macht die Sache noch brisanter.
Oracle empfiehlt seinen Kunden auf Grund der potentiellen Gefahr der Sicherheitslücken, die Patches so schnell wie möglich einzuspielen. Weitere Details zu den einzelnen Lücken listet die Firma auf einer Zusammenfassungsseite auf. (fab)
