Oracle Critical Patch Update: 169 Lücken in Java, MySQL und Co. gestopft
Oracle schließt im ersten Critical Patch Update (CPU) des Jahres 2015 insgesamt 169 Sicherheitslücken über die gesamte Produktpalette hinweg. Fünf dieser Lücken waren mit der höchsten Gefahrenstufe 10.0 ausgezeichnet, vier davon betrafen Java.
Die Liste der betroffenen Produkte im Oracle Critical Patch Update Advisory für Januar 2015 ist lang und umfasst neben Java auch MySQL, Solaris, Sparc-Enterprise-Produkte, Oracle Fusion, Database und viele andere.
In der E-Business-Suite wurde eine Lücke entdeckt, die es Angreifern erlaubt, die Kontrolle über die Software zu übernehmen. Dabei kann sich ein normaler Anwender über eine einfache Datenbank-Transaktion Systemrechte verschaffen und damit weiter ins System vordringen. Nach der Entdeckung der Verwundbarkeit wurde zunächst angenommen, dass ein Angreifer hier eine Hintertür hinterlassen habe. Noch kann sich bei Oracle niemand diese Lücke erklären oder bestimmen, seit wann sie existiert.
Aufgrund der geringen Anzahl an Lücken in Java SE – 19 insgesamt, davon vier kritisch – spricht Oracle von einem historischen Tiefstand, der die verstärkte Hinwendung von Oracle zur Sicherheit von Java widerspiegele. Trotzdem sind Anwender und Administratoren wie immer angehalten, die neuesten Updates schnellstmöglich einzuspielen. Eine detaillierte Übersicht der einzelnen Lücken ist in Oracles Sicherheitsblog einsehbar.
Zudem erklärt Oracle, die Verwendung von SSLv3 mit Java nun standardmäßig abgeschaltet zu haben und rät den Anwendern zur Verwendung von TSL. Das Unternehmen reagiert damit auf die Poodle-Sicherheitslücke vom Oktober 2014.