Categories: CloudRechenzentrum

Oracle bestätigt Spectre-Updates und veröffentlicht 237 Sicherheitspatches

Oracle veröffentlicht im Januar insgesamt 237 Sicherheitsupdates für verschiedene Produkte. Nachdem der Hersteller sich lange nicht zu den Intel-Prozessor-Bugs Meltdown und Spectre geäußert hatte, bestätigt er nun auch für diese Lecks Sicherheitsupdates – allerdings ohne dafür einen Zeitrahmen zu nennen.


Der britische Branchendienst The Register berichtet unter Berufung auf ein nicht öffentliches Support-Dokument, dass auch eine Version von Oracle Solaris auf der eigenen Prozessor-Architektur SPARCv9 von Spectre betroffen ist und Oracle derzeit an einem Patch arbeitet. Oracle ist damit nicht alleine. Auch die IBM-Prozessoren der Power-Familie sind von dem Fehler betroffen so wie andere Architekturen.

Oracle veröffentlicht in dem Januar-Update auch Fixes, die Meltdown und Spectre in den x86-basierten Systemen des Herstellers beheben. So werden Oracle OS und Oracle VM für CVE-2017-5715 mit einem aktualisierten Intel Microcode versorgt werden. Allerdings nennt Oracle noch keinen Zeitrahmen. Damit macht Oracle auch deutlich, dass der Hersteller selbst die Updates, die derzeit von Intel bereitgestellt werden, zusätzlich anpasst. Die Intel-Updates sorgen vor allem in Rechenzentren für signifikante Performance-Einbußen und gerade Oracle-Anwender setzen diese Produkte meist in hochverfügbaren, kritischen Umgebungen ein.

Um die Bedenken der Anwender zu zerstreuen, erklärt Oracle, dass die Spectre-Patches vor der Veröffentlichung einer eingehenden Prüfung unterzogen werden. Oracle rät den Anwender auch, vor dem Einspielen der Patches zunächst andere Sicherheitsmaßnahmen zu ergreifen und zum Beispiel die Zahl der privilegierten Nutzer auf den Systemen zu begrenzen.

Wie auch andere Cloud-Provider auch scheint auch Oracle mit Performance-Problemen bei dem Public Cloud Service zu kämpfen, wie aus einigen Nutzerforen hervorgeht.

Doch Oracles umfangreiche Produktpalette leidet nicht nur an Meltdown und Spectre. Verschiedene Anwendungen weisen ebenfalls Verwundbarkeiten auf, darunter befinden sich auch viele kritische Lecks. Der höchste CVSS-3.0-Base-Score in den unternehmenskritischen Anwendungen ist 9,8 von maximal 10. Diesen Wert erreichen Lecks in Fusion Middleware, People Soft und in verschiedenen Retail-Anwendungen. Ein Leck in dem Sun ZFS Storage Appliance Kit erreicht sogar den Maximalwert. Auch der Oracle WebLogic Server und die Oracle Retail Convenience and Fuel POS Software leiden an Lecks, die mit einem Basescore von 10.0 bewertet sind.
Die Anwendung mit den meisten Lecks sind Oracle Financial Services, bei der der Hersteller insgesamt 34 Schwachstellen beheben muss. 13 dieser Lecks lassen sich über das Netzwerk ohne die Eingabe einer Nutzerkennung ausnutzen. In Fusion Middleware behebt Oracle 27 Lecks und in MySQL sind es 25 Verwundbarkeiten, wie der Spezialist für Unternehmensanwendungen ERPScan in einem Blog festhält. Für Java SE veröffentlicht Oracle insgesamt 21 Patches. 99 behobene Sicherheitslecks für Business-Anwendungen lassen sich Remote ohne Nutzerkennung ausnutzen. Daher rät Oracle dringend, die veröffentlichten Patches aufzuspielen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Wie gut kennen Sie Hightech-Firmen, die an der Börse notiert sind? Testen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Martin Schindler

Recent Posts

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Stunden ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

1 Tag ago

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

2 Tagen ago

Bericht: Apple arbeitet an faltbarem iPad

Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…

2 Tagen ago

HPE baut Supercomputer am Leibniz-Rechenzentrum

Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.

2 Tagen ago

Bund meldet Fortschritte in der Netzversorgung

Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…

3 Tagen ago