88 Updates von Oracle

Der vor allem als Datenbankhersteller bekannt gewordene Software-Hersteller Oracle hat für den kommenden Dienstag eine Reihe wichtiger Sicherheits-Updates für seine Produkte angekündigt. Oracle nennt sie «CPU» (Critical Patch Updates). Solche Updates stellt Oracle regelmässig alle drei Monate bereit - stets an dem Dienstag, der dem 17. des Monats (Januar, April, Juli und Oktober) am nächsten ist. Wie schon im April gilt es 88 Schwachstellen zu beheben.

Oracles Ankündigung enthält eine lange Liste betroffener Produkte. Sie beginnt mit dem Datenbank-Server (Database 11g/10g) und reicht über Secure Backup, Fusion Middleware, E-Business Suite und PeopleSoft bis zu den Produkten des von Oracle übernommenen Herstellers Sun sowie dem MySQL Server. Die Risikobewertung erfolgt nach dem System CVSS 2.0 (Common Vulnerability Scoring System), in dem 10.0 der Höchstwert ist.

Drei von vier Schwachstellen im Database Server sind ohne Benutzeranmeldung über das Netzwerk ausnutzbar. Der maximale CVSS-wert ist 5.0. In Oracle Secure Backup sollen zwei Lücken geschlossen werden (CVSS: 7.8), die die Komponenten Apache und PHP betreffen. Hier werden also Updates der jeweiligen Hersteller durchgereicht. In MySQL sollen sechs Lücken beseitigt werden, von denen laut Oracle keine ohne Anmeldung über das Netzwerk ausnutzbar ist.

In Fusion Middleware will Oracle 22 Sicherheitslücken schliessen, von denen acht ohne Anmeldung über das Netzwerk ausnutzbar sein können. Mindestens eine dieser Lücken erreicht die höchste Risikostufe 10.0. Updates für PeopleSoft Enterprise HRMS und PeopleTools stopfen neun Lücken mit einem CVSS-Wert bis 5.5.

Produkte des übernommenen Herstellers Sun kommen auf 25 zu beseitigende Schwachstellen mit einem CVSS-Wert bis 7.8. Betroffen sind etwa Das Betriebssystem Solaris sowie der GlassFish Enterprise Server. Java hingegen folgt einem eigenen, viermonatlichen Update-Turnus. Das jüngste Java-Update gab es im Juni, das nächste ist am 16. Oktober an der Reihe.