Oracle CPU-Ankündigung

Oracle kündigt umfangreiche Sicherheits-Updates an

Oracles Critical Patch Update soll insgesamt 155 Sicherheitslücken in nahezu allen Produkten beseitigen. Dazu zählen etwa Java, VirtualBox, MySQL, Oracle Database, Fusion Middleware, PeopleSoft und Solaris.

Die regelmäßigen Quartals-Updates des Software-Herstellers Oracle fallen diesmal mit dem Microsoft Patch Day am 14. Oktober zusammen. Die von Oracle als CPU (Critical Patch Update) bezeichneten Aktualisierungen werden alle drei Monate an dem Dienstag veröffentlicht, der dem 17. Tag des betreffenden Monats am nächsten ist. Microsofts Patch Day findet hingegen am zweiten Dienstag jedes Monats statt. Wie Microsoft veröffentlicht auch Oracle am Donnerstag davor eine Ankündigung, die bereits erahnen lässt, was auf Admins und Nutzer zukommt.

Mit dem letzten CPU dieses Jahres will Oracle 155 Sicherheitslücken in seiner Produktpalette schließen. Wie schwerwiegend die Lücken sind, gibt Oracle mit dem standardisierten CVSS 2.0 Base Score (Common Vulnerability Scoring System 2.0) an. Der höchste CVSS-Wert ist 10.0 und besagt, dass eine Lücke recht einfach und ohne Benutzeranmeldung über das Netzwerk ausgenutzt werden kann, um etwa Code einzuschleusen und auszuführen.

In Java SE (Standard Edition) will Oracle 25 Schwachstellen beseitigen. Der maximale CVSS-Score beträgt 10.0, laut CPU-Ankündigung sind 22 Java-Lücken ohne Anmeldung über das Netzwerk ausnutzbar. Dies betrifft alle noch unterstützten Java-Versionen. Kostenlos und öffentlich verfügbar sind jedoch nur Updates für Java 7 und 8. Sicherheits-Updates für ältere Java-Generationen erhalten nur zahlende Kunden.

Auf den Oracle Database Server entfallen 32 zu stopfende Lücken (CVSS 9.0), bei Fusion Middleware sind es deren 17 (CVSS 7.5). Zu den Datenbank-Produkten zählt auch das quelloffene MySQL, das im Web breite Anwendung findet. Darin sollen 24 Lücken gestopft werden, deren maximalen CVSS-Score Oracle mit 8.0 angibt. Oracles Virtualisierungsprodukte sind Secure Global Desktop und das kostenlos erhältliche VirtualBox. Darin will Oracle sieben Schwachstellen beheben, für die der Hersteller einen CVSS-Score von 5.0 angibt.

Detailliertere Angaben zu den beseitigten Sicherheitslücken wird Oracle erst am 14. Oktober veröffentlichen. Ab Dienstagabend werden auch die aktualisierten Java-Versionen zum Download bereit stehen. (PC Welt/mje)