Oracle veröffentlicht am Patchday insgesamt 253 Patches und behebt damit Lecks in 76 Produkten. In diesem vierteljährlich veröffentlichten Updates sind 15 Lecks, die mit CVSS 9 oder höher bewertet sind.
Oracle empfiehlt den Anwendern auch aufgrund der zahlreichen kritischen Lecks, die Patches möglichst schnell aufzuspielen. Wie der Hersteller mitteilt, gibt es immer wieder Vorfälle von Angriffsversuchen aber auch von erfolgreichen Angriffen.
Zu den betroffenen Produkten zählen unter anderem Oracle Database Server, Oracle E-Business Suite, Oracle Industry Applications, Oracle Fusion Middleware, Oracle Sun Products, Oracle Java SE, und Oracle MySQL, so Oracle in einem Blog.
Die schwerwiegendsten Lecks verfehlen mit 9.8 knapp die Höchstwertung von 10.0. Diese Lecks stecken in Oracle Big Data Discovery, Oracle Web Services, Oracle Commerce Platform, Oracle Retail Customer Insights und Oracle Retail Merchandising Insights sowie WebLogic over HTTP. Unautorisierte Nutzer könnten darüber ohne Zugriff auf das Netzwerk über HTTP auf verschiedene Protokolle zugreifen oder Java SE beeinflussen.
So könnten Angreifer die vollständige Kontrolle über Java SE bekommen. Auch könnten dadurch auch andere Produkte angreifbar werden. Die anderen Lecks lassen sich nur mit Hilfe einer weiteren Person ausnutzen. Oracle stuft darüber drei Lecks in Java SE mit 9.6 ein. Davon sind die Komponenten 2D, AWT und Hotspot (in Java SE Embedded) betroffen.
Mit 9.1 ist ein Leck in der Komponente MscObieeSrvlt im Oracle Advanced Supply Chain Planning bewertet. Ebenfalls mit 9.1 ist der Fehler in OJVM im Oracle Database Server in verschiedenen Versionen bewertet. Darüber kann ein Angreifer Sessions und Prozeduren erstellen und über Netzwerkzugriff über verschiedene Protokolle OJVM manipulieren. Ein Angreifer sei damit in der Lage OJVM vollständig unter seine Kontrolle zu bringen, aber auch weitere Produkte könnten davon betroffen sein.
Für den Oracle Database Server veröffentlicht der Hersteller insgesamt 12 neue Sicherheitsupdates. Auch hier könne ein Leck remote ohne Authentifizierung ausgenutzt werden. Darüber hinaus gibt es zwei Verwundbarkeiten für Oracle Secure Backup auch hier sei unauthorisierter Zugriff über das Netzwerk möglich. Gleiches gilt auch für Oracle Big Data Graph.
Wer das Arbeitsplatzkonzept der Sun Ray noch im Einsatz hat, sollte ebenfalls einen mit 8.2 CVSS-Score bewerteten OpenSSL-Bug beheben. Über das Leck kann Sun Ray OS zum Absturz gebracht werden.
Vor allem angesichts der teilweise hohen Gefahrenpotentiale durch die Lecks, wird immer wieder Kritik an Oracle laut, dass Lecks nur vierteljährlich behoben werden. Andere Hersteller wie SAP, oder Microsoft bemühen sich, Sicherheitslecks monatlich zu beheben.
Der Kauf von Dotmatics, Anbieter von F&E-Software, soll das PLM-Portfolio des Konzerns im Bereich Life…
Unternehmen wollen KI schnell einführen, doch dadurch entsteht Stückwerk, warnt Larissa Schneider von Unframe im…
Technische Schulden – Tech Debt – machen oft 20 bis 40 Prozent der Technologieressourcen aus,…
Obwohl 84 Prozent der Befragten Digitalisierung als entscheidenden Erfolgsfaktor sehen, hat gerade einmal die Hälfte…
Aus Sicht vieler Führungskräfte sind junge Talente oft unzureichend auf ihre Jobprofile vorbereitet, da sie…
Umfrage: Bürokratisches Beschaffungswesen, strikte Regulierung und fehlendes Risikokapital bremsen digitale Verteidigungs-Innovationen.
