Critical Patch Update: Oracle lässt ein weiteres Monster-Updatepaket auf die Welt los

Die vierteljährlichen Critical Patch Updates für Oracle-Produkte bedeuten immer viel Arbeit für Admins und Oracle-Anwender, aber das diesjährige Juli-CPU hat es besonders in sich. Oracle hat insgesamt 308 Schwachstellen in über 90 verschiedenen Produkten geschlossen. 165 dieser Lücken lassen sich aus der Ferne ausnutzen, 28 gelten mit einem CVSS Score von mindestens 9.0 als kritisch. Betroffen sind unter anderem Java, Solaris, MySQL sowie verschiedene Oracle-Enterprise- und Siebel-Produkte.

28 kritische Lücken, unter anderem in Java und MySQL

Eine Liste der verschiedenen Sicherheitslücken, aufgeschlüsselt nach Produkten, findet sich bei Oracle. Kunden der Firma haben außerdem Zugriff auf weitere Informationen. Die kritischen Lücken befinden sich in den folgenden Produkten:

• Oracle Database Server, CVE-2017-10202, CVSS Base Score 9.9
• Oracle Fusion Middleware, CVE-2017-10137, CVSS Base Score 10.0
• Oracle Fusion Middleware, CVE-2015-3253, CVSS Base Score 9.8
• Oracle Fusion Middleware, CVE-2015-5254, CVSS Base Score 9.8
• Oracle Fusion Middleware, CVE-2017-5638, CVSS Base Score 9.8
• Oracle Communications Applications, CVE-2015-3253, CVSS Base Score 9.8
• Oracle Communications Applications, CVE-2015-0235, CVSS Base Score 9.8
• Oracle Hospitality Applications, CVE-2017-5689, CVSS Base Score 9.8
• Oracle Hospitality Applications, CVE-2017-5689, CVSS Base Score 9.8
• Oracle Retail Applications, CVE-2017-5689, CVSS Base Score 9.8
• Oracle Retail Applications, CVE-2017-5689, CVSS Base Score 9.8
• Oracle Retail Applications, CVE-2017-10183, CVSS Base Score 9.8
• Oracle Retail Applications, CVE-2016-6814, CVSS Base Score 9.6
• Oracle Retail Applications, CVE-2016-6814, CVSS Base Score 9.6
• Oracle Primavera Products, CVE-2016-6814, CVSS Base Score 9.6
• Java SE, CVE-2017-10110, CVSS Base Score 9.6
• Java SE, CVE-2017-10089, CVSS Base Score 9.6
• Java SE, CVE-2017-10086, CVSS Base Score 9.6
• Java SE, CVE-2017-10096, CVSS Base Score 9.6
• Java SE, CVE-2017-10101, CVSS Base Score 9.6
• Java SE, CVE-2017-10087, CVSS Base Score 9.6
• Java SE, CVE-2017-10090, CVSS Base Score 9.6
• Java SE, CVE-2017-10111, CVSS Base Score 9.6
• Java SE, CVE-2017-10107, CVSS Base Score 9.6
• Java SE, CVE-2017-10102, CVSS Base Score 9.0
• Oracle Sun Systems Products, CVE-2017-3632, CVSS Base Score 9.8
• MySQL, CVE-2016-4436, CVSS Base Score 9.8
• MySQL, CVE-2017-5651, CVSS Base Score 9.8

Schweres Los für Admins

In der ersten Hälfte diesen Jahres sind Admins in besonderem Maße mit Arbeit überschüttet worden. Eine kritische Zeroday-Lücke in der SMB-Umsetzung von Windows führte mit WannaCry und NotPetya bereits zu zwei heftigen Ransomware-Epidemien, was Microsoft zu Patches außerhalb der Reihe veranlasste – zum ersten Mal auch für Windows-Versionen, die eigentlich nicht mehr unterstützt werden. Auch die Umstellung der Firma auf eine neue, unübersichtlichere Auflistung der Lücken in Microsoft-Produkten sorgt eher für mehr als für weniger Arbeit. Und nun liefert Oracle mit diesem CPU Patches für 308 Lücken aus – so viele Updates, wie nie zuvor. Insgesamt hat die Firma bereits 878 Lücken in diesem Jahr geschlossen.

Trotz des Aufwandes sollten viele der in Oracles CPU enthaltenen Updates so schnell wie möglich eingespielt werden. Die Erfahrung von früheren Oracle-Patchdays zeigt, dass Angreifer besonders Java- und MySQL-Lücken schnell für Angriffe missbrauchen. Das nächste Oracle-CPU ist dann für den 17. Oktober geplant – momentan ist nicht zu erwarten, dass der Trend der Riesen-Patchpakete bis dahin abbrechen wird. (fab)