Oracle behebt NSA-Leck in Solaris 10 und 298 andere Sicherheitslücken
Oracle veröffentlicht am Patchday für den April 2017 insgesamt 299 Sicherheitsupdates. Damit stellt Oracle einen neuen Rekord auf. Das Update, das zahlreiche Oracle-Produkte betrifft, enthält 40 Verwundbarkeiten, die mit einem CVSS-Basescore zwischen 9.0 und 10.0 und damit als kritisch bewertet sind. 25 dieser Lecks erreichen dabei die höchste Sicherheitsstufe von 10.0. Diese Patches sollten, wie der Hersteller warnt, ohne Verzögerung aufgespielt werden.
Die am stärksten betroffenen Produkte sind “Financial Services Applications” mit insgesamt 47 Patches, MySQL mit 39 Patches und Retail Applications mit ebenfalls 39 Patches. Auf die Fusion Middleware entfallen 31 Patches. In Der Sun Systems Product Suite sind es 21 Lecks.
Mit dem Patch-Day schließt Oracle auch Lecks, die von einem veröffentlichten NSA-Spionagetool in Solaris 10 ausgenutzt wurden . CVE-2017-3622 beschreibt eine Möglichkeit, in der Common Desktop Environment von Solaris 10 Rechte auszuweiten. Dieses Leck wurde von dem NSA-Tool EXTREMEPARR verwendet, um damit verwundbare Rechner unter Kontrolle zu bringen. In Solaris 11 ist dieses Leck nicht enthalten. Damit sind Solaris 7 und 9 weiterhin verwundbar. Nachdem Oracle diese Versionen aber nicht mehr unterstützt, müssen Anwender, die diese Versionen noch einsetzen, besondere Schutzmaßnahmen ergreifen.
Ein weiteres Update, CVE-2017-3623, das von den NSA-Tool EBBISLAND oder EBBSHAVE ausgenutzt wurde, behebt eine Kernel RPC-Verwundbarkeit in den Versionen Solaris 6 bis 10 auf Sparc und x86. Solaris 10 mit allen kritischen Patches Seit Januar 2012 und dem Update 11 sowie Solaris 11 sind nicht von dem Leck betroffen. Offenbar hat also Oracle in Solaris 10 bereits 2012 das NSA-Leck CVE-2017-3623 geschlossen und das Leck CVE-2017-3622 in Solaris 10 aktuell behoben. Oracle hatte sich in den zurückliegenden Tagen bedeckt gehalten, ob Produkte von den von der Hackergruppe Shadow Brokers veröffentlichten NSA-Tools betroffen sind.
Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.
In den zurückliegenden fünf Jahren hat sich die durchschnittliche Zahl der Oracle-Patches verdreifacht, die alle drei Monate veröffentlicht werden. So stieg die Zahl von 91 im Jahr 2012 auf 280 im Jahr 2017. Auffällig ist auch die hohe Zahl von Patches für Branchenlösungen wie Financial Services, Retail, Communications, Utilities, Hospitality, Health Sciences oder Versicherungen.
Mit insgesamt 122 Patches belegen Anwendungen aus diesen Kategorien 37 Prozent der gesamten Veröffentlichung im April. Mehr als 60 Prozent dieser Lecks in den Lösungen PeopleSoft, JD Edwards, Siebel CRM, Oracle Financial Services, Oracle Primavera Products Suite lassen sich remote ausnutzen. Die Oracle E-Business Suite (EBS), die wichtigste Unternehmenssoftware von Oracle, weist insgesamt 11 Patches auf. Der höchste CVSS im Fall der EBS liegt bei 9.1.
“Cybercrime war immer schon ein einträgliches Geschäft. Heutzutage richten Hacker aber ihre Augen mehr auf Unternehmen als auf Individuen, weil sie erkennen, dass diese Optionen deutlich profitabler ist. Nimmt man die Tatsache, dass Oracle-Produkte in den allergrößten Unternehmen eingesetzt werden, sind diese Anwendungen ultimative Ziele”, kommentiert Alexander Polyakov, CTO des auf Unternehmensanwendungen spezialisierten Anbieter ERPScan. “Die gute Nachricht ist, dass der Hersteller sich diesem kritischen Bereich widmet, bevor ein wirklich großer Datenklau passiert. Die schlechte Nachricht ist, dass Administratoren lange damit zu tun haben werden, die zahlreichen Patches zu installieren.”