Sicherheitsupdates: Oracle schließt über 250 Lücken in Java, MySQL und Co.
Mit seinen vierteljährig veröffentlichten Updates schließt Oracle im April 254 Sicherheitslücken in einer Vielzahl von eigenen Software-Lösungen. Einige der Lücken stuft das Unternehmen als schwerwiegend ein. Administratoren und Nutzern rät Oracle, die zur Verfügung gestellten Updates schnellstmöglich einzuspielen.
In den dazugehörigen Release Notes weißt Oracle darauf hin, dass rund ein Drittel aller Patches für Lücken in Lösungen sind, welche nicht vom Unternehmen selbst entwickelt wurden, wie zum Beispiel die Open-Source-Software Apache.
Auch Privatanwender betroffen
Von den 254 Sicherheitslücken werden 40 von Oracle als besonders kritisch eingestuft, im zehnstufigen Common Vulnerability Scoring System werden diese mit 9,1 geführt. Da fast der gesamte Oracle-Produktkatalog betroffen ist, reichen die Fehlerbeseitigungen auch teilweise in den Privatanwenderbereich hinein: So ist Java SE mit 14 offenen Lücken betroffen, von denen drei von Oracle mit 8,3 eingestuft werden, und Nutzer hier somit einem hohem Sicherheitsrisiko ausgesetzt sind. Es besteht die Gefahr, dass die betroffene Rechner von Angreifern aus der Ferne übernommen werden können, ohne dass diese sich als Anwender oder Administrator anmelden müssen. Betroffen sind Java SE 6 Update 181, Java SE 7 Update 171, Java SE 8 Update 162 sowie Java SE 10.
Finanzsoftware ebenfalls lückenhaft
Darüber hinaus sind Programme wie Oracle Communications Applications, Oracle Enterprise Manager, Fusion Middleware, JD-Edwards-Produkte, Oracle Retail Applications und Oracle Utilities betroffen. Unter den Problemfällen finden sich auch sensible Anwendungen aus dem Finanz- und Geschäftsbereich, darunter Oracle Banking und Oracle Financial Services, welche 36 Lücken aufweisen. Auch hier besteht die Gefahr, dass Angreifer die Programme und deren Systeme aus der Ferne übernehmen können, was im Finanzsektor eine besondere Bedrohung darstellt.
Ferner sind Oracle HTTP Server, JRockit, VirtualBox, WebLogic, WebCenter und Solaris betroffen. In der Datenbank-Software MySQL stopft Oracle 33 Lücken, mit 39 die meisten jedoch in Fusion Middleware.
Eine komplette Übersicht der betroffen Produkte ist aus den von Oracle veröffentlichten Patch-Notes zu entnehmen.
Patches für Meltdown und Spectre
Oracle stellt außerdem weitere Updates gegen die CPU-Sicherheitslücken Meltdown und Spectre für Oracle Linux, diverse Virtualisierungsprodukte sowie Oracle Solaris für Sparc zur Verfügung. Updates für Solaris für die x86-Plattform befinden sich laut Oracle noch in der Entwicklung, 64-Bit-Sparc-Prozessoren sollen dagegen nicht von Meltdown betroffen sein.
Updates sollten schnell eingespielt werden
Oracle fordert Anwender und Administratoren dazu auf, die bereinigte Software zügig zu installieren, um die Sicherheit der Produkte gewährleisten zu können.