Oracle hat am Dienstag mit seinem jüngsten Critical Patch Update wie angekündigt 144 Sicherheitslücken in 47 seiner Produkte geschlossen. Allein 36 Fixes gibt es für Java SE.
Wie Oracle in einem Vorab-Advisory bereits ausführte, lassen sich Dutzende der jetzt beseitigten Schwachstellen aus der Ferne und ohne Eingabe von Anmeldedaten ausnutzen. Das trifft auf 34 Lücken in Java SE, eine in Oracles E-Business Suite, sechs in Oracle Supply Chain, zehn in PeopleSoft Enterprise und eine in Siebel CRM zu. Eine vollständige Liste betroffener Produkte hat Oracle in einem aktualisierten Advisory veröffentlicht.
Das Unternehmen fordert Nutzer auf, die mit dem Januar-Update bereitgestellten 144 Fixes schnellstmöglich einzuspielen. Allerdings hat nur eine Handvoll die höchste Risikobewertung 10 von 10 erhalten. Dazu zählen Patches für fünf Anfälligkeiten in clientseitigen Deployments von Java SE (CVE-2014-0410, CVE-2014-0415, CVE-2013-5907, CVE-2014-0428, CVE-2014-0422), die sich nur durch Java-Web-Start-Anwendungen und Java-Applets in einer Sandbox ausnutzen lassen. Weitere als höchst kritisch eingestufte Sicherheitslöcher finden sich in Oracle WebCenter Sites als Teil der Fusion Middleware (CVE-2013-4316), der Banking-Software Flexcube (CVE-2013-4316) und dem MySQL Enterprise Monitor (CVE-2013-4316).
Eine der fünf schwersten Java-Schwachstellen betrifft auch die serverseitige Softwareverteilung. „Das heißt, sie kann ausgenutzt werden, indem Daten an APIs einer bestimmten Komponente übermittelt werden, ohne Java-Web-Start-Applikationen oder Java-Applets in einer Sandbox zu verwenden“, erläutert Eric P. Maurice, Oracles Director of Software Security Assurance. Außerdem beträfen zwei der kritischen Java-SE-Fixes Java 7 Update 45 für Apples Plattform (CVE-2014-0385 und CVE-2014-0408).
Maurice führt weiterhin aus, dass es einen kritischen Fix für Oracles Business-Intelligence-Lösung Hyperion gebe, die zwei Patches erhalten habe. „Eine dieser Anfälligkeiten (CVE-2013-3830) hat die CVSS-Basisbewertung 7.1, was für eine vollständige Kompromittierung bei einem erfolgreichen Exploit steht, aber auch eine einmalige Authentifizierung durch den Angreifer voraussetzt.“
Oracles nächstes vierteljährliches Critical Patch Update ist für den 15. April angesetzt. Die weiteren Termine sind 15. Juli, 14. Oktober und 20. Januar 2015.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…