Rekord-Quartals-Update: Oracle fixt 276 Sicherheitslücken in seinen Produkten

Die meisten Schwachstellen klaffen in Fusion Middleware und der Sun System Products Suite. Aber auch Java SE ist verwundbar und bekommt Sicherheits-Updates spendiert.

In Pocket speichern vorlesen Druckansicht 24 Kommentare lesen
Rekord-Quartals-Update: Oracle fixt 276 Sicherheitslücken in seinen Produkten
Lesezeit: 2 Min.

In seinem dritten Quartals-Update schließt Oracle insgesamt 276 Schwachstellen; davon stuft das Unternehmen 19 Lücken als kritisch ein. So viele Sicherheitslücken hat Oracle bis dato noch nie abgesichert. Insgesamt sind 84 Produkte von Oracle betroffen. In einer Sicherheits-Warnung findet sich eine Liste mit Details zu betroffenen Versionen.

In verschiedenen Komponenten der Oracle Fusion Middleware wie GlasFish Server und WebLogic Server klaffen äußerst kritische Lücken. Der Bedrohungsgrad ist Oracle zufolge sehr hoch: Fünf Schwachstellen weisen einen CVSS 3.0 Score von 9.8 von 10 auf. Angreifer können die Lücken ohne Authentifizierung vergleichsweise einfach aus der Ferne ausnutzen und Daten abziehen, beziehungsweise im schlimmsten Fall ganze Systeme kompromittieren.

Weitere Lücken mit einem derartigen Bedrohungsgrad finden sich in Hyperion, verschiedenen Supply Chain Products, diversen Communications, Health Sciences und Retail Applications, Sun System Products und Oracle Virtualization. Wer Software aus diesem Umfeld einsetzt, sollte zügig die verfügbaren Sicherheits-Updates installieren.

In den Java-SE-Versionen 6, 7 und 8 stopft Oracle insgesamt 13 Schwachstellen; vier Bugs kommen mit einem CVSS 3.0 Score von 9.6 von 10 daher. Auch hier sollten Nutzer schnell reagieren und die Version 8 Update 102 installieren. Wer noch die Versionen 6 oder 7 einsetzt, muss kostenpflichtiger Java-Support-Kunde sein, um abgesicherte Versionen zu erhalten. Wer Java SE nicht aktualisiert, setzt sich der Gefahr aus, dass Angreifer ohne viel Aufwand aus der Ferne und ohne Authentifizierung Schad-Code auf Systeme schieben könnten.

Oracle veröffentlicht sein Critical Patch Update quartalsweise. Die nächste Sicherheits-Patch-Sammlung will Oracle am 18. Oktober veröffentlichen. (des)