Critical Patch Update: Oracle verteilt 136 Sicherheits-Patches
Die zweite Sammlung abgesicherter Versionen von Oracle-Anwendungen für 2016 ist da. Der Hard- und Software-Hersteller stopft unter anderem kritische Lücken in Database Server und MySQL Server.
Oracle macht sein Anwendungs-Portfolio mit dem quartalsweise erscheinenden Critical Patch Update sicherer. Im April liefert Oracle 136 Sicherheits-Patches aus. Nutzer von etwa Database Server, E-Bussiness Suite, Fusion Middleware, Sun Products, Java SE und MySQL rät der Hard- und Software-Hersteller, die abgesicherten Versionen dringend einzuspielen.
Kritische Lücken in Database und Middleware
Für Database Server stehen fünf Fixes bereit. Zwei Lücken davon sollen Angreifer ohne Authentifizierung aus der Ferne ausnutzen können. Davon ist aber nur eine Schwachstelle in der Java-VM-Komponente mit einem CVSS 3.0 Score von 9/10 als kritisch eingestuft. Der Aufwand für einen erfolgreichen Angriff soll aber hoch sein. Details dazu sind nicht bekannt. Oracle beschreibt allgemein keine Angriffsszenarien in seinen Sicherheits-Warnungen.
Client-Installation von Database sollen nicht betroffen sind. Oracle weist weist aber nochmal deutlich auf eine Aktualisierung des Critical Patch Updates aus dem Januar dieses Jahres hin die beschreibt, dass die Schwachstelle mit der Kennung CVE-2015-4923 auch Client-Installationen betrifft. Admins sollten das Sicherheits-Update aus dem Januar einspielen.
Fusion Middleware ist über 22 Lücken gefährdet; 21 sollen sich über ein Netzwerk ohne Nutzernamen und Passwort ausnutzen lassen. Sieben gelten mit einem CVSS 3.0 Score von 9.8/10 als kritisch. Die Komplexität eines Angriffs über diese Schwachstellen ist Oracle zufolge niedrig.
Kritische Lücken in Java SE und MySQL
Alle neun Schwachstellen in Java SE sollen sich aus der Ferne ohne einen gültigen Nutzernamen und Kennwort ausnutzen lassen. Davon sind fünf Lücken maximal mit einem CVSS Score von 9.6/10 eingestuft. Wenn ein potentielles Opfer keine Admin-Rechte hat, fällt der Bedrohungsgrad auf niedrig.
Im Zuge des Critical Patch Updates weist Oracle nochmals auf ein im März erschienenen Sicherheits-Patch hin, der eine kritische Lücke in Java SE im Webbrowser und Desktop-Computern stopft. Es gibt zudem neue JDK-Versionen mit strengeren Sicherheitsvorgaben.
In der Sun Systems Products Suite werden 18 Lücken abgesichert. Zwölf sollen sich aus der Ferne ohne Authentifizierung ausnutzen lassen. Eine kritische Schwachstelle in Solaris weist einen CVSS 3.0 Score von 9.8/10 auf.
In MySQL stopft Oracle 31 Schwachstellen. Um vier davon aus der Ferne auszunutzen, müssen sich Angreifer nicht authentifizieren. Bei MySQL gelten aber nur zwei Lücken mit einem CVSS 3.0 Score von 9.8/10 als kritisch.
Allumfassend updaten
In Enterprise Manager Grid Control klaffen zwei Lücken. Davon soll sich nur eine aus der Ferne ohne Authentifizierung ausnutzen lassen können. Mit einem CVSS 3.0 Score von 5.9/10 fällt der Bedrohungsgrad der Lücke aber vergleichsweise gering aus. Client-Installation sollen nicht gefährdet sein. Da Enterprise-Manager-Produkte auch auf Fusion- und Middleware-Komponenten setzen, sollten Nutzer auch diese auf dem aktuellen Stand halten.
In der E-Business Suite stopft Oracle sieben Sicherheitslücken. Sechs davon sollen Angreifer aus der Ferne ohne Authentifizierung ausnutzen können. Der höchste CVSS 3.0 Score beträgt hier beim Oracle Field Service 9.1/10 Punkte. Auch die Business Suite setzt auf Fusion- und Middleware-Komponenten.
In der Financial Services Software Flexcube klafft mit einem CVSS 3.0 Score von 9.1/10 eine als kritisch eingestufte Lücke. Von den insgesamt vier abgesicherten Schwachstellen sollen sich drei ohne Authentifizierung ausnutzen lassen.
Weniger kritische Schwachstellen
Für die Chain Products Security Suite stellt Oracle sechs Sicherheits-Updates zur Verfügung. Vier Lücken sollen sich vergleichsweise einfach aus der Ferne ohne Nutzernamen und Passwort attackieren lassen.
Das Sicherheits-Update für Oracle Virtualization dichtet vier Lücken ab. Keine davon ist als kritisch eingestuft; drei sollen sich aber über das Netzwerk ohne gültigen Nutzernamen und Kennwort ausnutzen lassen.
People Soft Products erhält 15 Patches. Oracle zufolge sind davon aber lediglich zwei Lücken mit einem geringen CVSS 3.0 Score von 5.9/10 und 4.7/10 ohne Authentifizierung über ein Netzwerk angreifbar.
In Berkley DB klaffen fünf Lücken mit einem CVSS 3.0 Score von 7.8/10. Alle sollen sich ausschließlich lokal und mit gültigen Nutzernamen und Passwörtern angreifen lassen.
JD Edwards Products wird mit einem Sicherheits-Update für eine aus der Ferne angreifbare Lücke (CVSS 3.0 Score 6.5/10) versorgt. In Siebel CRM klaffen zwei Schwachstellen, die Angreifer aber nur mit einer Authentifizierung lokal oder im Netzwerk attackieren können.
In den Communications Applications stopft Oracle eine Lücke, deren Bedrohungsgrad aber mit dem CVSS 3.0 Score 4.9/10 vergleichsweise gering eingestuft ist. Auch die drei Lücken in Retail Applications lassen sich nur mit einem gültigen Nutzernamen und Passwort ausnutzen und Oracle teilt ihnen einen geringen Bedrohungsgrad zu. Die einzige Lücke in den Sciences Applications lässt sich zwar ohne Authentifizierung über das Netzwerk ausnutzen, weist aber dennoch nur einen CVSS 3.0 Score von 5.3/10 auf. (des)
