Patchday: Sicherheitslücken in über 100 Oracle-Produkten
Das erste Oracle Critical Patch Update des Jahres 2023 liefert Beschreibungen und Updates für Sicherheitslücken in mehr als 100 Produkten des Unternehmens.
Oracle hat das erste Critical Patch Update des Jahres herausgegeben. Mehr als 100 Produkte sind von Sicherheitslücken betroffen, für die der Hersteller Aktualisierungen bereitstellt. Insgesamt haut Oracle 327 Sicherheitspatches raus.
Die Sicherheitslücken betreffen viele populäre Produkte von Oracle wie MySQL-Datenbanken, Oracle Communications Cloud-Produkte, Oracle-Datenbanken, Solaris oder etwa Virtualbox. Eine detaillierte Auflistung liefert die Sicherheitsmeldung von Oracle zum Januar-2023-CPU.
Schwerwiegendere Lücken in Oracle-Produkten
Einige Schwachstellen hebt Oracle selbst hervor. In Oracles Essbase Web Platform klafft eine von bösartigen Akteuren ohne Anmeldung aus dem Netz ausnutzbare Lücke in der OpenSSL-Komponente (CVE-2022-2274, CVSS 9.8, Risiko "kritisch"). Das Content Acquisition System von Oracle Commerce Guided Search bringt das Spring-Framework in verwundbarer Version mit, was ähnliche Auswirkungen hat (CVE-2022-22965, CVSS 9.8, kritisch). Gleich 29 kritische Sicherheitslücken reißen Dritthersteller-Komponenten wie Apache Commons Text, Apache Log4j, Sping Security, PHP oder XStream und weitere in den Oracle Communications-Produkten auf.
Oracle Construction and Engineering bringt ebenfalls Apache Commons Text mit kritischer Lücke mit, genauso wie Oracle Enterprise Manager. Kritische Lücken stammen in Oracle Financial Services-Software etwa von der Apache Commons Configuration-Komponente. Oracle Fusion Middleware schließt mit Update 15 kritische Lücken. Eine kritische Schwachstelle, die Angreifern ohne Authentifizierung aus dem Netz den Missbrauch erlauben, findet sich in Oracle Health Sciences. Zwei weitere derartige Lecks betreffen Oracle Healthcare. Auch in Hyperion schließt Oracle zwei kritische Fehler. Weitere als kritisch eingestufte Sicherheitslücken betreffen Oracle JD Edwards EnterpriseOne Orchestrator, MySQL, PeopleSoft-Software, Siebel CRM, Oracle Support Tools sowie Oracle Systems (Server-Firmware) und Oracle Utilities Applications.
In zahlreichen anderen Produkten reichen die Schwachstellen immerhin zum Schweregrad "hoch" und haben eine kritische Wertung nur knapp verpasst. IT-Verantwortliche sollten die bereitgestellten Informationen zu den bei ihnen eingesetzten Produkten prüfen und die Aktualisierungen zügig herunterladen und anwenden. Auf die automatische Update-Prüfung von einigen Produkten ist dabei kein Verlass. So findet etwa Virtualbox derzeit noch nicht die Aktualisierung auf Version 7.0.6, die auch eine hochriskante Lücke schließt.
(dmk)