Skip to main content

Oracle schließt schwerwiegende Sicherheitslücken ein, die das System einem Hijack-Risiko aussetzen

Oracle hat am Dienstag 127 Sicherheitsprobleme in Java, seiner Datenbank und anderen Produkten behoben und einige Fehler behoben, durch die Angreifer Systeme übernehmen könnten.

Dies ist das erste Mal Oracle hat Java in sein vierteljährliches Critical Patch Update (CPU) aufgenommen, als Teil des bereits angekündigten Plans des Unternehmens, die Häufigkeit von Java-Sicherheitsupdates alle vier Monate auf eins alle drei Monate zu erhöhen.

Das neue Java SE 7 Update 45 (7u45) Version veröffentlicht Dienstag enthält 51 der 127 Sicherheitsfixes in dieser CPU. Fünfzig dieser Fixes adressieren Sicherheitslücken, die ohne Authentifizierung aus der Ferne ausgenutzt werden können, und 12 von ihnen haben die höchstmögliche Bewertung des Schweregrads, was bedeutet, dass sie die vollständige Kontrolle über das zugrunde liegende Betriebssystem erhalten.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Von 51 Sicherheitslücken, die in diesem Java-Sicherheitsupdate gepatcht wurden, betreffen 40 nur Client-Bereitstellungen, die das häufig ausgerichtete Java- Webbrowser-Plug-in enthalten, und 8 betreffen Client- und Serverimplementierungen.

Diese Sicherheitsanfälligkeiten können durch Java Web Start-Anwendungen oder Java-Applets ausgenutzt werden, und im Falle von Fehlern, die auch Serverimplementierungen betreffen, durch Senden von Daten an Anwendungsprogrammschnittstellen (APIs) in den gefährdeten Komponenten.

Zwei andere Java-Schwachstellen, die in dieser Version angesprochen werden Betroffen sind Websites, auf denen das Javadoc-Tool als Service ausgeführt wird und die resultierende Dokumentation gehostet wird. Das Javadoc-Tool wird zum Erstellen von HTML-Dokumentationsdateien verwendet.

Die letzte Sicherheitsanfälligkeit betrifft jhat, ein Entwicklerwerkzeug, mit dem Java-Heap-Analysen durchgeführt werden können.

Beyond Java

Die anderen 76 Sicherheitsfixes in dieser CPU sind nicht mit Java-Adressschwachstellen in den folgenden Oracle-Produktfamilien verbunden: Oracle Datenbank, Oracle Fusion Middleware, Oracle Enterprise Manager Grid Control, Oracle E-Business Suite, Oracle Supply Chain-Produktsuite, Oracle PeopleSoft Enterprise, Oracle Siebel CRM, Oracle iLearning, Oracle Industrieanwendungen, Oracle FLEXCUBE, Oracle Primavera, Oracle und Sun Systems Products Suite, Oracle Linux und Virtualisierung und Oracle MySQL.

Im Oracle Database Server wurden zwei Schwachstellen behoben, die beide ohne Authentifizierung ausgenutzt werden können Kompromiss der Vertraulichkeit der Daten. Bei der Behebung eines dieser Probleme müssen Kunden die Netzwerkverschlüsselung zwischen ihren Clients und Servern aktivieren, wenn Daten über nicht vertrauenswürdige Netzwerke gesendet werden, sagte Eric Maurice, Oracle Director von Software Assurance, in einem Blogbeitrag.

Zusätzlich zu diesen beiden Sicherheitsanfälligkeiten noch zwei weitere die für Oracle Fusion Middleware geltenden Regeln gelten auch für Datenbankimplementierungen.

Tabellen, die die genaue Anzahl der in den einzelnen Produkten enthaltenen Sicherheitsanfälligkeiten, ihren Schweregrad und die betroffenen Produktversionen aufführen, sind in der Oracle-CPU-Empfehlung für Oktober enthalten Mit Java 7 Update 45 hat Oracle außerdem Java 6 Update 65 und Java 5 Update 55 veröffentlicht, die die Schwachstellen beheben, die auch für diese älteren Versionen gelten. Allerdings hat Oracle die öffentliche Unterstützung für Java 5 und 6 eingestellt, sodass diese neuen Sicherheitsupdates nur für Kunden mit erweiterten Supportverträgen verfügbar sind.

"Um ein so großes Patch-Release mit über 120 Schwachstellen effizient zu behandeln, empfehlen wir, zu arbeiten in der folgenden Reihenfolge: Java zuerst, da es die am meisten angegriffene Software in dieser Version ist, dann Sicherheitslücken in Diensten, die dem Internet ausgesetzt sind, wie Weblogic, HTTP und andere ", sagte Wolfgang Kandek, CTO der Schwachstellenmanagementfirma Qualys Dienstag in einem Blogbeitrag. "Hoffentlich sind Ihre Datenbanken nicht direkt mit dem Internet verbunden, sodass Sie mehr Zeit haben, sie auf die neuesten Patch-Level zu bringen."