Critical Patch Update: Oracle wirft Paket mit 334 Sicherheitspatches ab
In Software von Oracle klaffen unter anderem kritische Sicherheitslücken. Das Quartalsupdate bringt jede Menge Sicherheitspatches.
Admins, die in Unternehmen Software von Oracle verwalten, sollten die umfangreiche Liste zum Critical Patch Update studieren und die sie betreffenden Sicherheitsupdates zügig installieren. Beispielsweise in Software aus den Bereichen Communications Applications, Database Server und Enterprise Manager Products klaffen kritische Sicherheitslücken.
Diese könnten Angreifer bisweilen mit vergleichsweise wenig Aufwand aus der Ferne ohne Authentifizierung ausnutzen und die Sicherheitslöcher als Sprungbrett in Unternehmensnetzwerke nutzen. Klappt das, könnten Angreifer in einigen Fällen die Kontrolle übernehmen und unter anderem Finanz-, Gesundheits- und Kundendaten leaken oder Malware abladen.
Jetzt patchen!
Bei den insgesamt 334 Patches handelt es sich gewöhnlich um kumulative Updates – also Pakete, die vorige Patches innehaben. Oracle weist aber deutlich darauf hin, dass Admins ältere Sicherheitswarnungen prüfen sollten, um wirklich kein Sicherheitsupdate zu verpassen.
In den Listen findet man neben den bedrohten Versionen auch weitere Angaben zu möglichen Angriffsszenarien und Anmerkungen zu Patches und Workarounds. Außerdem stehen dort die CVE-Nummern der einzelnen Schwachstellen.
Meltdown & Spectre
In Bezug auf die CPU-Lücken Meltdown und Spectre verweist Oracle auf Sicherheitswarnungen ab Januar 2018. Die Patch-Situation ist hier gelinde gesagt ziemlich chaotisch. Das liegt auch daran, dass stetig neue Spectre-Varianten auftauchen. Im Kontext der CPU-Lücken verweisen sie noch auf zwei Dokumente, die aber nur eingeloggte Oracle-Kunden einsehen können.
Das nächste Quartalsupdate plant Oracle am 16. Oktober 2018. (des)
