Oracle bringt außerplanmäßigen Patch für Apache-Lücke

Oracle hat außer der Reihe ein Sicherheitsupdate veröffentlicht. Es stopft mehrere Löcher in Fusion Middleware und Oracle Application Server, die in dem in die Software integrierten Open-Source-Webserver Apache stecken. Das Unternehmen reagiert damit auf ein seit August im Internet erhältliches Tool namens „Apache Killer“, das die Anfälligkeiten ausnutzt.

„Angesichts der Gefahr, die von einem erfolgreichen Angriff ausgeht, rät Oracle allen Kunden dringend dazu, den Patch schnellstmöglich anzuwenden“, heißt es in einer Sicherheitswarnung. Ein Angreifer könne die Löcher für eine Denial-of-Service-Attacke auf einen Oracle-HTTP-Server missbrauchen, schreibt Eric Maurice, Software Security Assurance Director bei Oracle, in einem Blogeintrag. Das zugrundeliegende Betriebssystem sei aber nicht anfällig.

Es sei sehr einfach, einen Angriff auf die Lücken auszuführen, heißt es weiter in dem Blogeintrag. „Oracle hat sich entschieden, Fixes für die betroffenen Produkte direkt nach Abschluss aller Tests und vor dem nächsten geplanten Patchday am 18. Oktober zu veröffentlichen.“ Kunden, die sich bisher mit einer Behelfslösung geschützt haben, sollten den Patch ebenfalls umgehend installieren, da es nach Unternehmensangaben sonst Probleme geben kann.

Sophos zufolge ist es erst das fünfte Mal seit 2005, dass Oracle ein Sicherheitsupdate vorgezogen hat. Das sei ein Zeichen dafür, wie hoch das Risiko eines Angriffs sei. „Der generelle Widerwille, mit dem Oracle von seinem dreimonatigen Update-Zyklus abweicht, lässt sich mit einem Wort zusammenfassen: ‚Wichtigkeit‘.“