Oracle startet das Patch-Jahr 2016 mit einem Rekord. Insgesamt veröffentlicht der Hersteller bei dem vierteljährlichen Critical Patch Update (CPU) 248 Patches für verschiedene Produkte. Rund 100 davon lassen sich Remote ohne Authentifizierung ausnutzen.
Es ist Oracles bislang umfangreichste Aktualisierung und womöglich ist diese Zahl auch in der gesamten Branche bislang ohne Beispiel. Am letzten Patch-Tag von Oracle im Oktober 2015 schloss der Hersteller insgesamt 154 Lecks. Im Schnitt behebt Oracle etwa 100 Lecks mit einem Patch-Tag. Allerdings zeigt sich in den zurückliegenden Jahren ein stetiger Anstieg bei Patches.
In der Oracle Enterprise Business Suite (EBS) schließt Oracle 78 Lecks. Nur Adobe Flash hat bislang in einem einzigen Patch-Tag mehr Aktualisierungen bekommen. Oracles Konkurrenzprodukt zu SAP kommt vor allem bei ganz großen Unternehmen zum Einsatz, fast alle Fortune-500-Unternehmen setzten die Oracle-ERP-Lösung ein. Damit zeigt sich, dass auch in großen und vor allem kritischen Unternehmenslösungen jetzt häufiger Lecks entdeckt und geschlossen werden. Bislang gab es bei Oracle meist um Java, MySQL und Datenbanken einen Schwerpunkt. Im aktuellen Fall macht Oracle EBS fast ein Drittel aller Patches aus. Auf Fusion Middleware entfallen 11 Prozent und auf PeopleSoft 4 Prozent.
“Jedes dieser 78 Probleme sind von großer Bedeutung, weil sie allesamt unternehmenskritische Anwendungen auf Basis der E-Business-Suite betreffen, wie etwa die Value Chain Execution Suite, Value Chain Planning, Advanced Procurement, Supply Chain Management, Project Portfolio Management, Human Capital Management und CRM”, teilen die Forscher von ERPScan mit, die laut eigenen Angaben auch einige dieser Lecks aufgespürt haben. “Diese Anwendungen speichern und verarbeiten wertvollste Unternehmens-Daten wie HR-Informationen, Finanzdaten, Listen von Lieferanten und Kunden und andere. Im Falle eines erfolgreichen Angriffs, kann eine Person mit unlauteren Absichten, Daten über Material-Mengen oder Preise für Produkte manipulieren, Gelder umleiten und Finanz-Reports verändern, nur um einige Beispiele zu nennen.”
Die weitere Analyse von ERPScan zeigt aber auch, dass die insgesamt 78 Lecks in 76 Fällen mit moderatem Risiko sowie zwei Lecks mit niedriger Gefährdung eingestuft sind. Der höchste Common Vulnerability Scoring System (CVSS)-Score in EBS liegt bei 6,4.
Im Januar CPU werden insgesamt 5 Lecks mit der maximalen Risiko-Bewertung 10.0 eingestuft. Die meisten davon betreffen Oracle Java SE. Daher sollten Anwender diese an erster Stelle beheben, rät Oracle.
Die Lecks CVE-2016-0494 und CVE-2015-8126 etwa betreffen Java SE und Java SE Embedded in verschiedenen Versionen und erlaubt einfach auszunutzende Netzwerk-Attacken über verschiedene Protokolle. Ein Angreifer kann die Kontrolle über ein Client-System übernehmen und beliebigen Code ausführen. Ein weiteres hochkritisches Leck CVE-2016-0483 in Java SE und JRockit. CVE-2016-0451 und CVE-2016-0452 betreffen Oracle GoldenGate. Auch in diesen Fällen kann ein Angreifer das System übernehmen und beliebigen Code ausführen.
Neben der Oracle E-Business Suite schließt Oracle auch im Oracle Enterprise Manager Grid Control, Oracle Fusion Middleware, Oracle Sun Systems Products Suite, Oracle MySQL, Oracle PeopleSoft, Oracle Virtualization, Oracle Retail Applications, Oracle Java SE, Oracle JD Edwards, Oracle Database Server, Oracle Communications Applications, Oracle Supply Chain Products Suite, Oracle GoldenGate, und Oracle iLearning Lecks.
In einem Blog rät Oracle, dass Nutzer schnell die Betreffenden Patches aufspielen. Der Hersteller betont auch, dass sich keines der Lecks in Oracle-Datenbank-Produkten derzeit remote ausnutzen lässt.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…
KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.
Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.
Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.
Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…
Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.