Oracle Patch Day

Oracle schließt kritische Java-Lücken

Oracles Quartals-Updates beseitigen insgesamt mehr als 160 Sicherheitslücken in Oracle-Produkten. Darunter sind 19 zum Teil kritische Lücken in Java sowie Schwachstellen in VirtualBox und MySQL.

Eine Woche nach den ersten Microsoft-Updates dieses Jahres zieht Oracle nach und stopft 169 Lücken in seinem umfangreichen Produktportfolio. Oracle stellt viermal im Jahr so genannte Critical Patch Updates (CPU) bereit. Die Palette der betroffenen Anwendungen reicht vom Oracle Datenbank-Server über Fusion, Enterprise Manager und E-Business Suite bis Java, VirtualBox und MySQL.

Bei Java findet derzeit schrittweise ein Generationswechsel statt. Seit dem letzten CPU-Termin im Oktober 2014 ist Java 8 das empfohlene Standard-Java für alle Anwender. Mit der gestern bereit gestellten Aktualisierung Java 8 Update 31 (1.8.0_31, 8u31) werden bestehende Installationen des JRE 7 (Java Runtime Environment, Browser-Plugin) auf das neue Java 8 umgestellt. Dies lässt sich durch manuellen Eingriff verhindern. Beim nächsten CPU-Termin im April wird es das letzte öffentlich verfügbare Update für Java 7 geben.

Mit Java 8 Update 31 beseitigt Oracle 19 Sicherheitslücken, von denen vier den höchsten CVSS-Score 10.0 (Common Vulnerability Scoring System 2.0) tragen. Weitere zwei Lücken sind mit einer Risikoeinstufung von 9.3 geringfügig niedriger bewertet, da sie nach Oracles Einschätzung weniger leicht ausnutzbar sind. Zwei dieser sechs kritischen Lücken betreffen nur Java 8, alle anderen 17 Schwachstellen auch Java 7. Letzteres ist in der neuen Version Java 7 Update 75 (1.7.0_75, 7u75) verfügbar.

Mit diesen Updates verändert Oracle auch die SSL-Unterstützung in Java. SSL v3.0 ist standardmäßig deaktiviert. Es gilt als obsolet und ist anfällig für die so genannten POODLE-Angriffe. Oracle empfiehlt SSL möglichst bald zugunsten von TLS 1.2 gänzlich aus eigenem Code zu verbannen. Mit zukünftigen Updates sollen auch alle anderen Oracle-Produkte dieser Linie folgen.

Im quelloffenen Datenbank-Server MySQL, der in vielen Websites eingesetzt wird, hat Oracle neun Schwachstellen beseitigt. Eine betrifft die Verschlüsselung. Sie ist mit einem CVSS-Score von 7.5 recht hoch eingestuft. In seinen Virtualisierungsprodukten hat Oracle elf Lücken gestopft, von denen acht in VirtualBox stecken und drei im Secure Global Desktop.

In den vorwiegend in Unternehmen und großen Organisationen eingesetzten Produkten hat Oracle ebenfalls zahlreiche Schwachstellen beseitigt, die zum Teil einen CVSS-Score von 10.0 tragen. Oracle rät daher zu einem möglichst schnellen Einspielen der bereit gestellten Updates. (PC Welt/mje)