Oracle veröffentlicht 253 Patches

Oracle veröffentlicht am Patchday insgesamt 253 Patches und behebt damit Lecks in 76 Produkten. In diesem vierteljährlich veröffentlichten Updates sind 15 Lecks, die mit CVSS 9 oder höher bewertet sind.

Oracle empfiehlt den Anwendern auch aufgrund der zahlreichen kritischen Lecks, die Patches möglichst schnell aufzuspielen. Wie der Hersteller mitteilt, gibt es immer wieder Vorfälle von Angriffsversuchen aber auch von erfolgreichen Angriffen.

Zu den betroffenen Produkten zählen unter anderem  Oracle Database Server, Oracle E-Business Suite, Oracle Industry Applications, Oracle Fusion Middleware, Oracle Sun Products, Oracle Java SE, und Oracle MySQL, so Oracle in einem Blog.

Die schwerwiegendsten Lecks verfehlen mit 9.8 knapp die Höchstwertung von 10.0. Diese Lecks stecken in Oracle Big Data Discovery, Oracle Web Services, Oracle Commerce Platform, Oracle Retail Customer Insights und Oracle Retail Merchandising Insights sowie WebLogic over HTTP. Unautorisierte Nutzer könnten darüber ohne Zugriff auf das Netzwerk über HTTP auf verschiedene Protokolle zugreifen oder Java SE beeinflussen.

So könnten Angreifer die vollständige Kontrolle über Java SE bekommen. Auch könnten dadurch auch andere Produkte angreifbar werden. Die anderen Lecks lassen sich nur mit Hilfe einer weiteren Person ausnutzen. Oracle stuft darüber drei Lecks in Java SE mit 9.6 ein. Davon sind die Komponenten 2D, AWT und Hotspot (in Java SE Embedded) betroffen.

Mit 9.1 ist ein Leck in der Komponente MscObieeSrvlt im Oracle Advanced Supply Chain Planning bewertet. Ebenfalls mit 9.1 ist der Fehler in OJVM im Oracle Database Server in verschiedenen Versionen bewertet. Darüber kann ein Angreifer Sessions und Prozeduren erstellen und über Netzwerkzugriff über verschiedene Protokolle OJVM manipulieren. Ein Angreifer sei damit in der Lage OJVM vollständig unter seine Kontrolle zu bringen, aber auch weitere Produkte könnten davon betroffen sein.

Für den Oracle Database Server veröffentlicht der Hersteller insgesamt 12 neue Sicherheitsupdates. Auch hier könne ein Leck remote ohne Authentifizierung ausgenutzt werden. Darüber hinaus gibt es zwei Verwundbarkeiten für Oracle Secure Backup auch hier sei unauthorisierter Zugriff über das Netzwerk möglich. Gleiches gilt auch für Oracle Big Data Graph.

Wer das Arbeitsplatzkonzept der Sun Ray noch im Einsatz hat, sollte ebenfalls einen mit 8.2 CVSS-Score bewerteten OpenSSL-Bug beheben. Über das Leck kann Sun Ray OS zum Absturz gebracht werden.

Vor allem angesichts der teilweise hohen Gefahrenpotentiale durch die Lecks, wird immer wieder Kritik an Oracle laut, dass Lecks nur vierteljährlich behoben werden. Andere Hersteller wie SAP, oder Microsoft bemühen sich, Sicherheitslecks monatlich zu beheben.