Der US-amerikanische Software-Hersteller Oracle hält seinen Patch Day nur alle drei Monate ab. Oracle spricht dabei von „Critical Patch Updates“ (CPU). Aufgrund des umfangreichen Produktportfolios sowie des relativ langen Update-Turnus fallen dabei regelmäßig mehrere hundert zu beseitigende Lücken an. Im April sind 441 Schwachstellen zusammengekommen – deutlich mehr als beim letzten Mal im Januar.
Etliche der beseitigten Schwachstellen sind als kritisch einzustufen. Angaben dazu, ob Schwachstellen bereits für Angriffe ausgenutzt werden (0-Day-Lücken), macht Oracle nicht. Für die Risikobewertung nutzt Oracle den Industriestandard CVSS 3.1 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist. Auch Microsoft gibt seit einiger Zeit einen CVSS-Score für beseitigte Sicherheitslücken an.
Produktaktuelle Versionbeseitigte LückenCVSS-ScoreJava 88u41183.7Java 11 (LTS)11.0.2353.7Java 17 (LTS)17.0.1143.7Java 21 (LTS)21.0.343.7Java 2222.0.143.7MySQL8.3.0 / 8.0.36409.8VirtualBox7.0.16138.8Oracle CPU April 2024
Die dicksten Brocken
Die meisten Sicherheitslücken hat Oracle in seiner Produktfamilie für die Telekommunikationsbranche (Communications) geschlossen. Von den 93 Lücken sind 71 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, eine davon erreicht den CVSS-Score 9.8. Es folgt Fusion Middleware mit 51 gestopften Lücken. Davon sind 35 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, zehn erreichen den CVSS-Score 9.8. Dicht dahinter folgen die Produkte für Banken und Finanzdienstleister (Financial Services) mit 49 Schwachstellen, von denen 30 über das Netzwerk ausnutzbar sind und zwei den CVSS-Score 8.8 erreichen.
▶Patch Day: Microsoft stopft rekordverdächtige 147 Sicherheitslücken
Mit 36 behobenen Schwachstellen liegt der quelloffene Datenbank-Server MySQL im oberen Mittelfeld. Hier sind neun Lücken ohne Benutzeranmeldung über das Netzwerk ausnutzbar, zwei erreichen den CVSS Score 7.5. Die neuesten verfügbaren MySQL-Versionen (MySQL Community Server) sind 8.3.0 („Innovation“) und 8.0.36. Für MySQL 5.7 gibt es seit Oktober 2023 keine Updates mehr.
Java-Updates
In Java SE (Standard Edition) hat Oracle insgesamt 13 Sicherheitslücken geschlossen, von denen 10 ohne Benutzeranmeldung übers Netzwerk ausnutzbar sind (CVSS-Höchstwert 7,5). Vier dieser Lücken betreffen nur die GraalVM für Unternehmen. Im März hat Oracle Java 22 veröffentlicht, das bereits im September durch Java 23 abgelöst werden wird. Java 21 aus dem September 2023 ist hingegen eine LTS-Version (Long Term Support). Auch Java 17 und Java 11 sind LTS-Versionen. Sie werden acht Jahre lang mit Updates versorgt. Der neueste Stand sind die Versionen 22.0.1, 21.0.3, 17.0.11 und 11.0.23. Ab Java 9 bringen Java-basierte Anwendungen selbst mit, was sie brauchen. Im Gegensatz zu Java 8 müssen Sie als Anwender die Java-Laufzeitumgebung (JRE) also im Regelfall nicht selbst installieren und aktualisieren.
▶Die neuesten Sicherheits-Updates
Für Anwender bleibt laut Oracle weiterhin vorwiegend Java 8 (JRE – Java Runtime Environment) relevant und von Oracle empfohlen. Die neueste Version ist Java 8 Update 411 (8u411). Darin hat Oracle acht Schwachstellen beseitigt. Java 8 wird für den privaten Einsatz auf vorerst unbestimmte Zeit mit kostenlos erhältlichen Sicherheits-Updates versorgt. Oracle will das Support-Ende 18 Monate im Voraus ankündigen. Unternehmen und Behörden müssen hingegen seit April 2019 für diese Updates zahlen, werden dafür jedoch bis Ende 2030 versorgt.
Als Browser-Erweiterung (JRE Plug-in) läuft Java nur noch im obsoleten Internet Explorer 11 sowie in Pale Moon (auf Firefox-Basis) und im auf altem Firefox/Gecko-Code basierenden Browser Waterfox Classic. Letzterer enthält im Gegensatz zu aktuellen Firefox-Versionen (und Waterfox ab 4.x) noch die alte NPAPI-Schnittstelle für Plug-ins – aber auch diverse seit Jahren klaffende Sicherheitslücken. Auch Pale Moon (aktuelle Version: 33.0.2 vom 26. März 2024) bringt noch die alte NPAPI-Schnittstelle mit, basiert jedoch auf einem unabhängig weiterentwickelten Firefox-Fork. läuft noch auf Windows 7 und wird weiterhin mit Sicherheits-Updates gepflegt.
VirtualBox
Die quelloffene Virtualisierungslösung VirtualBox ist in der neuen Versionen 7.0.16 erhältlich. Darin hat Oracle 13 Schwachstellen beseitigt, von denen zumindest eine übers Netzwerk ausnutzbar ist. Womöglich lässt es die eine oder andere Lücke zu, Code aus der VM auf dem Hostsystem auszuführen. Die Unterstützung für den Versionszweig 6.1 ist offiziell bereits im Dezember 2023 ausgelaufen, die letzte Version ist 6.1.50.
Update 19. April – Oracle warnt vor VirtualBox-Upgrade
Oracle / fz
Auf seiner Download-Seite für VirtualBox warnt Oracle vor dem Umstieg auf die aktuelle Version 7.0.16. Demnach könnte ein kompletter Systemabsturz drohen. Die Gefahr besteht, wenn eine virtuelle Maschine (VM) so konfiguriert ist, dass sie über Netzwerkzugriff ohne NAT verfügt (also bridged oder host-only). Dann kann der gesamte Host-Rechner abschmieren, nicht nur die VM. Oracle will die Verfügbarkeit einer Lösung über nicht näher bezeichnete Mailing-Listen verkünden. Update Ende
Der nächste turnusmäßige Oracle CPU-Tag ist am 16. Juli. Seit April 2022 sind diese Termine stets am dritten Dienstag im Januar, April, Juli und Oktober.
Business, Professional Software, Security Software and Services, Virtual Machines