Oracle schließt 254 zum Teil schwerwiegende Sicherheitslücken

Oracle hat an seinem April-Patchday Updates für zahlreiche Produkte veröffentlicht. Sie schließen insgesamt 254 Sicherheitslücken. Alleine 40 Schwachstellen sind im zehnstufigen Common Vulnerability Scoring System mit 9,1 und mehr Punkten bewertet und somit als kritisch einzustufen. Sie lassen sich in der Regel aus der Ferne und ohne Authentifizierung ausnutzen.

Betroffen ist nahezu das gesamte Portfolio des Unternehmens, darunter Anwendungen wie Oracle Communications Applications, Oracle Banking, Oracle Enterprise Manager, Oracle Financial Services, Fusion Middleware, JD-Edwards-Produkte, Oracle Retail Applications und Oracle Utilities. Darüber hinaus sind MySQL, Oracle HTTP Server, JRockit, VirtualBox, WebLogic, WebCenter, Solaris, PeopleSoft Enterprise und auch Java SE anfällig.

Die meisten Fehler korrigiert Oracle in Fusion Middleware – insgesamt 39 Bugs listet das April-Advisory. 36 Löcher stecken in Applikationen für den Finanzsektor, 33 in der Datenbank-Software MySQL und 31 in Oracle Retail.

Java SE ist mit 14 Sicherheitslücken vertreten, von denen drei mit 8,3 Punkten bewertet sind. Auch sie lassen sich aus der Ferne ausnutzen, ohne dass ein Angreifer Anmeldedaten eingeben muss. Betroffen sind Java SE 6 Update 181, Java SE 7 Update 171, Java SE 8 Update 162 sowie Java SE 10.

In einem Blogeintrag weist Oracle darauf hin, dass 35 Prozent der Fixes für Fehler in Komponenten sind, die nicht von Oracle entwickelt wurden. Als Beispiel nennt das Unternehmen Open-Source-Software wie Apache.

Darüber hinaus bringt der April weitere Patches für die CPU-Lücken Meltdown und Spectre. Sie stehen nun auch für Oracle Linux, die Virtualisierungsprodukte und Oracle Solaris für Sparc zur Verfügung. 64-Bit-Sparc-Prozessoren sind laut Oracle nicht von Meltdown betroffen. Updates für Solaris für die x86-Plattform seien indes noch in Arbeit.

Oracle stellt viermal im Jahr Patches für seine Produkte bereit. In diesem Jahr stehen noch zwei weitere Termin an: am 17. Juli und am 16. Oktober. Im Januar lieferte das Unternehmen 237 Fixes aus, darunter auch die ersten Patches für Meltdown und Spectre.

Tipp: Was haben Sie über Datenbanken gespeichert? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.