Critical Patch Update: Oracle verteilt hunderte von Produkt-Patches
Oracles vierteljährliches Update-Paket schließt 319 Sicherheitslücken im Produktportfolio. Das von ihnen ausgehende Risiko gilt teils als hoch bis kritisch.
Im Rahmen seines Quartalsupdates ("Critical Patch Update") hat Hersteller Oracle insgesamt 319 Security-Fixes für zahlreiche Produktfamilien veröffentlicht. Viele der dadurch geschlossenen Sicherheitslücken gelten als kritisch. Einige könnten aus der Ferne missbraucht werden, um die Kontrolle über verwundbare Systeme zu übernehmen. Oracle rät seinen Kunden dazu, die im Rahmen des Critical Patch Updates bereitgestellten Fixes unverzüglich anzuwenden.
Details zu betroffenen Produkten, geschlossenen Lücken und verfügbaren Updates sind Oracles Update Advisory zu entnehmen. Bei der Einschätzung des von ihnen ausgehenden Sicherheitsrisikos helfen Oracles Angaben zum CVSS (Common Vulnerability Scoring System): Ein CVSS-v3-Score ab 7.0 bis einschließlich 8.9 kennzeichnet ein "hohes" Sicherheitsrisiko; Werte von 9.0 bis 10.0 gelten als "critical". Die Angabe "Network" in der Tabellenspalte "Attack Vector" des Update Advisory informiert darüber, dass Angriffe "über das Internet", also aus der Ferne, möglich sind.
Security Alerts zu Oracle WebLogic Server
Im Update Advisory weist Oracle noch einmal gesondert auf zwei – dem Patch Update vorangegangenen – Sicherheitshinweise für WebLogic Server hin. Einer von ihnen betraf die Ende April geschlossene Lücke CVE-2019-2725, der andere die im Juni reparierte CVE-2019-2729. Beiden Lücken ist gemeinsam, dass sie ohne Authentifizierung aus der Ferne ausgenutzt werden könnten, um Systeme zu kompromittieren beziehungsweise beliebigen Code auszuführen (Remote Code Execution).
Wer bislang versäumt hat, WebLogic Server zu patchen, sollte dies nun im Zuge des aktuellen Updates tun: Es enthält sowohl die bereits mit den beiden Security Alerts veröffentlichten als auch weitere wichtige Patches für den Java-EE-Anwendungsserver. (ovw)