Oracle bestätigt Spectre-Updates und veröffentlicht 237 Sicherheitspatches

Oracle veröffentlicht im Januar insgesamt 237 Sicherheitsupdates für verschiedene Produkte. Nachdem der Hersteller sich lange nicht zu den Intel-Prozessor-Bugs Meltdown und Spectre geäußert hatte, bestätigt er nun auch für diese Lecks Sicherheitsupdates – allerdings ohne dafür einen Zeitrahmen zu nennen.

Der britische Branchendienst The Register berichtet unter Berufung auf ein nicht öffentliches Support-Dokument, dass auch eine Version von Oracle Solaris auf der eigenen Prozessor-Architektur SPARCv9 von Spectre betroffen ist und Oracle derzeit an einem Patch arbeitet. Oracle ist damit nicht alleine. Auch die IBM-Prozessoren der Power-Familie sind von dem Fehler betroffen so wie andere Architekturen.

Oracle veröffentlicht in dem Januar-Update auch Fixes, die Meltdown und Spectre in den x86-basierten Systemen des Herstellers beheben. So werden Oracle OS und Oracle VM für CVE-2017-5715 mit einem aktualisierten Intel Microcode versorgt werden. Allerdings nennt Oracle noch keinen Zeitrahmen. Damit macht Oracle auch deutlich, dass der Hersteller selbst die Updates, die derzeit von Intel bereitgestellt werden, zusätzlich anpasst. Die Intel-Updates sorgen vor allem in Rechenzentren für signifikante Performance-Einbußen und gerade Oracle-Anwender setzen diese Produkte meist in hochverfügbaren, kritischen Umgebungen ein.

Um die Bedenken der Anwender zu zerstreuen, erklärt Oracle, dass die Spectre-Patches vor der Veröffentlichung einer eingehenden Prüfung unterzogen werden. Oracle rät den Anwender auch, vor dem Einspielen der Patches zunächst andere Sicherheitsmaßnahmen zu ergreifen und zum Beispiel die Zahl der privilegierten Nutzer auf den Systemen zu begrenzen.

Wie auch andere Cloud-Provider auch scheint auch Oracle mit Performance-Problemen bei dem Public Cloud Service zu kämpfen, wie aus einigen Nutzerforen hervorgeht.

Doch Oracles umfangreiche Produktpalette leidet nicht nur an Meltdown und Spectre. Verschiedene Anwendungen weisen ebenfalls Verwundbarkeiten auf, darunter befinden sich auch viele kritische Lecks. Der höchste CVSS-3.0-Base-Score in den unternehmenskritischen Anwendungen ist 9,8 von maximal 10. Diesen Wert erreichen Lecks in Fusion Middleware, People Soft und in verschiedenen Retail-Anwendungen. Ein Leck in dem Sun ZFS Storage Appliance Kit erreicht sogar den Maximalwert. Auch der Oracle WebLogic Server und die Oracle Retail Convenience and Fuel POS Software leiden an Lecks, die mit einem Basescore von 10.0 bewertet sind.
Die Anwendung mit den meisten Lecks sind Oracle Financial Services, bei der der Hersteller insgesamt 34 Schwachstellen beheben muss. 13 dieser Lecks lassen sich über das Netzwerk ohne die Eingabe einer Nutzerkennung ausnutzen. In Fusion Middleware behebt Oracle 27 Lecks und in MySQL sind es 25 Verwundbarkeiten, wie der Spezialist für Unternehmensanwendungen ERPScan in einem Blog festhält. Für Java SE veröffentlicht Oracle insgesamt 21 Patches. 99 behobene Sicherheitslecks für Business-Anwendungen lassen sich Remote ohne Nutzerkennung ausnutzen. Daher rät Oracle dringend, die veröffentlichten Patches aufzuspielen.

Tipp: Wie gut kennen Sie Hightech-Firmen, die an der Börse notiert sind? Testen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.