Oracle stopft kritische Lücken in Java und in seiner E-Business Suite
Mit seinem ersten Critical Patch Update für dieses Jahr schließt Oracle 169 Sicherheitslücken in fast allen seinen Produkten. Besonders kritische Lücken betreffen Java und die Oracle E-Business Suite.
(Bild: dpa)
- Fabian A. Scherschel
Oracle hat im Rahmen seines ersten Critical Patch Update (CPU) für 2015 insgesamt 169 Sicherheitslücken geschlossen, die sich über fast die komplette Produktpalette der Firma erstrecken. Fünf der Lücken sind mit der höchsten Gefahreneinstufung 10.0 nach dem Common Vulnerability Scoring System (CVSS) versehen; vier dieser Lücken befinden sich in Java. Auf Grund der Gefahr, die von vielen der Lücken ausgeht, empfiehlt Oracle die Updates so schnell wie möglich zu installieren.
Vermeintliche Hintertür in der E-Business Suite
Unter anderem hat Oracle eine Lücke in seiner E-Business Suite gestopft, die es einem Angreifer erlaubt, die Kontrolle über die Software zu übernehmen. Da diese in der Regel wichtige Business-Prozesse in einer Firma kontrolliert und somit eine idealen Brückenkopf für Angreifer darstellt, sollten Administratoren das entsprechende Update ernst nehmen.
Entdeckt hatte die E-Business-Lücke Sicherheitsforscher David Litchfield, der sie zuerst für eine absichtlich eingebaute Hintertür hielt. Mit einer einfachen Datenbank-Transaktion kann sich ein normaler Nutzer anscheinend mit Systemrechten der Datenbank ausstatten. Von Litchfield nach der Lücke befragt, antwortete Oracle man könne sich nicht erklären, wie der Bug zustande gekommen sei. Jetzt hat die Firma die mysteriöse Lücke geschlossen, allerdings ist immer noch nicht geklärt, seit wann die entsprechenden Systeme verwundbar waren.
Java laut Oracle so sicher wie schon lange nicht mehr
Die Programmiersprache Java, die laut einem aktuellen Bericht von Cisco gerade sicherer wird, erhält mit dem Update immerhin nur 19 Patches. Von diesen 19 Lücken betreffen 15 Client-Installationen von Java – viele davon erlauben das Ausführen von beliebigem Schadcode aus dem Netz. Oracle klopft sich selber auf die Schulter und gibt zu Protokoll, dass die "historisch niedrige Zahl" an Java-Lücken in diesem CPU direkt mit einer verbesserten Herangehensweise der Firma an Java-Sicherheitslücken in Verbindung stehe. Trotzdem sollten Nutzer auch die Java-Updates zügig einspielen, da die Programmiersprache nach wie vor eine beliebte Grundlage für Angriffe darstellt.
Zusätzlich hat Oracle bekannt gegeben, dass dieses Update die Verwendung von SSL mit Java standardmäßig verhindert – Kunden sollten stattdessen auf TLS umsteigen. Oracle reagiert damit nach eigenen Angaben vor allem auf die Poodle-Lücke, die Schwachstellen im veralteten SSLv3-Protokoll ausnutzt. (fab)
