Oracle stopft 248 Sicherheitslücken
Oracle hat sein erstes Critical Patch Update für dieses Jahr veröffentlicht. Mit einem Rekord von insgesamt 248 Patches will das Unternehmen sein Software-Portfolio abdichten.
Oracle hat sein erstes Quartals-Sammmel-Update im Jahr 2016 veröffentlicht. Ganze 248 Sicherheits-Patches stellt das Unternehmen zum Download bereit – ein Rekord für das Unternehmen. Insgesamt gelten aber nur fünf Lücken als kritisch, wie Heise Security schreibt.
Viele der Schwachstellen in Oracles Software-Portfolio sollen Angreifer aus der Ferne ohne Authentifizierung ausnützen können. Oracle empfiehlt seinen Kunden, die Lücken möglichst rasch zu schliessen. Viele Hackerangriffe, die dem Unternehmen gemeldet werden, sind auf nicht durchgeführte, ältere Sicherheitsupdates zurückzuführen, wie das Unternehmen in seinem Blog schreibt.
Oracle konnte keinen Grund für die Rekord-Sammlung nennen. In seinem Blogbeitrag vermutet das Unternehmen jedoch, dass Attacken auf Businessanwendungen wie jene von Oracle und SAP in Zukunft zunehmen könnten. Daher würden Sicherheitsexperten vermehrt Kontrollen durchführen und so auch mehr Schwachstellen entdecken als früher.
E-Business-Suite im Fokus
In diesem Quartal dichtet Oracle die meisten Lücken in seiner E-Business-Suite ab. Das Update soll 78 Schwachstellen schliessen. Die schwerste Lücke erreichte einen Rating von 6,4/10 auf der "Common Vulnerability Scoring System (CVSS)"–Skala.
23 Sicherheits-Patches hält Oracle für seine Oracle Sun System Products Suite bereit, 22 für Nutzer von MySQL. Beide könnten von Angreifern aus der Ferne ausgenutzt werden. Das höchste CVSS-2.0-Rating beträgt 7,4/10 bei Oracles Sun System Products Suite und 7,5/10 bei MySQL.
Oracles Virtualisierungslösungen werden mit neun Updates abgesichert. Hier beträgt das höchste CVSS-2.0-Rating 7,5/10.
Sorgenkind Java
Auch für Java SE stellt Oracle einige Patches bereit. Acht Fixes sind es dieses Mal, sieben davon sollen über das Internet ohne Passwort und Benutzernamen angreifbar sein. Drei der fünf kritischen Lücken betreffen Java.
Der höchste Schweregrad mit einem CVSS-2.0-Rating von 10/10 gilt gemäss Oracle allerdings nur, wenn der attackierte Nutzer die Admin-Rechte innehat. In den übrigen Fällen gelte die Einstufung 7,5/10, schreibt Heise Security weiter.
Die anderen beiden kritischen Sicherheitslücken betreffen Golden Gate. Drei Updates sollen die Schwachstellen wieder abdichten.
Das nächste Critical Patch Update von Oracle soll gemäss eigenen Angaben am 19. April 2016 erscheinen.