Oracle behebt 87 Sicherheitslöcher

Wie angekündigt hat Oracle mehrere kritische Lücken in zahlreichen Produkten behoben. Darunter sind auch Lecks, die die höchste mögliche Risiko-Bewertung von 10 haben – beispielsweise die kritischste der entfernten Lücken (CVE-2012-3135), die die Oracle JRockit Java Virtual Machine betrifft.

Neben den rund zwei Dutzend Fehlern in der Sun-Produktsuite enthält das Update wie angekündigt 22 Sicherheits-Fixes für Oracles Fusion-Middleware, einen Patch für Oracle Hyperion, neun für PeopleSoft-Programme, sieben für Siebel CRM, eines für Oracle Industry Applications, sechs für MySQL, vier für die Oracle E-Business Suite, eines für Oracle Enterprise Manager Grid Control, fünf für Oracle-Supply-Chain, vier für den Oracle Database Server, einen Fix für Oracle Application Express Listener und zwei für die Komponente Oracle Secure Backup für Apache.

Die Schwachstelle CVE-2012-1740, die Oracle Application Express Listener betrifft, und CVE-201d2-3192, die in Oracle Secure Backup für Apache steckt, werden jeweils mit Gefahrenstufe 7,8 eingeordnet — der zweithöchsten Einstufung in diesem Monat. Beide Schwachstellen erlauben einen Fernzugriff ohne Authentifizierung.

Viele dieser Bugs seien längst bekannt, bloggt Sophos-Security-Advisor Chester Wisnewksi – und weil Oracle sie zuvor nicht gemeldet hatte, sei es umso wichtiger, alle Lücken mit hohem Risikofaktor einzustufen.

[mit Material von Manfred Kohlen, ITespresso.de]