Oracle schließt 144 Lücken
Mit dem ersten Patch-Update 2014 behebt der IT-Konzern Sicherheitsmängel in fast allen Software-Produkten. Schwerpunkte sind Java, MySQL und Fusion Middleware.
- Christian Kirsch
Oracle veröffentlichte wie angekündigt ein reguläres Critical Patch Update (CPU). Es behebt 36 Schwachstellen in JavaSE, 22 in Fusion Middleware, 18 in MySQL und 17 in PeopleSoft-Produkten. Weitere Korrekturen betreffen unter anderem Solaris, Oracles Datenbankserver und Virtualisierungsprodukte.
Insgesamt werden mit dem CPU 144 Lücken geschlossen, von denen neun mit der höchsten Risikostufe 10 gekennzeichnet sind. Fast die Hälfte davon gehen auf zwei Fehler (CVE-2013-4316, CVE-2013-4310) im Struts-Framework der Apache Software Foundation zurück. Sie ermöglichten Angriffe ohne Anmeldung über das Netz und wurden von den Entwicklern bereits am 21. September 2013 behoben. Drei Wochen später erschien das letzte Oracle-CPU.
In Java kämpfen die Entwickler offenbar weiterhin mit per WebStart oder Browser gestarteten Applets. Schon 2013 musste der Hersteller mehrmals außer der Reihe Updates für Lücken in der WebStart- und Applet-Technik liefern, und auch dieses CPU schließt fünf Lücken mit der Risikostufe 10. Alle betreffen das aktuelle Java 7 sowie den nur noch für zahlende Kunden gewarteten Vorgänger, drei der Bugs stecken auch in Java 5.
Ausführlichere Beschreibungen der Java-Bugs finden sich auf der Website des Linux-Anbieters RedHat. Dort heißt es, zahlreiche unangemessene Prüfungen der Zugriffsrechte hätten es Angreifern ermöglicht, die Sandbox-Einschränkungen der JavaVM zu umgehen.
In Oracles Datenbankserver schließt das CPU nur fünf Lücken, alle mit einer mittleren Risikoeinstufung. Einer der Fehler ermöglicht Angriffe ohne Authentifizierung über das Netz. Betroffen sind die Versionen 11 und 12 des Servers und die Spatial-Komponente. (ck)
