270 Schwachstellen bei Oracle-Patchday behoben

Am Patch-Tag schließt Oracle insgesamt 270 Sicherheitslücken. Qualys, ein Anbieter für IT-Sicherheit kommentiert, dass mehr als 100 dieser Lecks sich ohne Authentifizierung ausnutzen lassen. Die meisten Lecks seien demnach über eine HTTP-Verbindung zugänglich.

Oracle Database Server, Oracle Enterprise Manager Grid Control, Oracle E-Business Suite, Oracle Industry Applications, Oracle Fusion Middleware, Oracle Sun Products, Oracle Java SE und Oracle MySQL fallen unter die betroffenen Produkte. Den mit einem CVSS Basescore von 10 am höchsten bewertete Fehler CVE-2017-3324 liegt im Primavera P6 Enterprise Porject Portfolio Management.

Oracle veröffentlicht Updates vierteljährlich. Daher fallen diese in der Regel sehr umfangreich aus. Die aktuellen Critical Patch Updates (CPU) verfehlen mit 270 Sicherheitslücken nur knapp den bisherigen Höchststand vom Juli 2016 mit 276 Schwachstellen knapp.

20 Prozent der Patches entfallen auf Oracles Finanzsoftware Flexcube, gefolgt von Updates Oracle Applications, Fusion Middleware, MySQL und Java. 16 der 17 Java-Lücken sind aus der Ferne ohne Anmeldedaten zugänglich. Auch fünf der 27 Schwachstellen in MySQL lassen sich remote ausnutzen.

Qualys zeigt außerdem, dass MySQL im Vergleich zu anderen, populären Datenbanken in den letzten fünf Jahren die meisten Sicherheitslücken aufweist, die in die CVE-Datenbank Eingang gefunden haben. Zwischen 2015 und 2016 sei deren Anzahl um 30 Prozent gestiegen.

Auch die beliebte Virtualsierungslösung Virtualbox ist von Schwachstellen betroffen. Das Update auf Version 5.1.14 beseitigt vier Sicherheitslücken, wovon eine remote ausgenutzt werden kann.

[mit Material von Kai Schmerer, ZDNet.de]