Der US-amerikanische Software-Hersteller Oracle hält seinen Patch Day nur alle drei Monate ab. Oracle spricht dabei von „Critical Patch Updates“ (CPU). Aufgrund des umfangreichen Produktportfolios sowie des relativ langen Update-Turnus fallen dabei regelmäßig mehrere hundert zu beseitigende Lücken an. Im Januar sind immerhin 327 Schwachstellen zusammengekommen. Beim vorherigen CPU-Tag im Oktober waren es mit 370 gestopften Lücken etwas mehr.
Etliche der beseitigten Schwachstellen sind als kritisch einzustufen. Angaben dazu, ob Schwachstellen bereits für Angriffe ausgenutzt werden (0-Day-Lücken), macht Oracle nicht. Für die Risikobewertung nutzt Oracle den Industriestandard CVSS 3.1 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist. Auch Microsoft gibt seit einiger Zeit einen CVSS-Score für beseitigte Sicherheitslücken an.
Produktneue Versionbeseitigte LückenCVSS-ScoreJava 88u36125.3Java 11 (LTS)11.0.1825.3Java 17 (LTS)17.0.625.3Java 1919.0.225.3MySQL8.0.32 / 5.7.41379.8VirtualBox7.0.6 / 6.1.4268.1Oracle CPU-Tag Januar: geschlossene Sicherheitslücken
Die dicksten Brocken
Die meisten Sicherheitslücken hat Oracle in seinen Produkten für die Telekommunikationsbranche (Communications) geschlossen. Von den 79 Lücken sind 63 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, 18 davon erreichen den CVSS-Score 9.8, eine sogar 9.9. Dahinter folgt Fusion Middleware mit 50 gestopften Lücken. Darunter sind 39 ohne Benutzeranmeldung über das Netzwerk ausnutzbare Schwachstellen, 15 davon erreichen den CVSS-Score 9.8. Mit 37 behobenen Schwachstellen liegt auch der quelloffene Datenbank-Server MySQL wieder in der Spitzengruppe. Hier sind acht Lücken ohne Benutzeranmeldung über das Netzwerk ausnutzbar, drei erreichen den CVSS Score 9.8. Die neuesten verfügbaren MySQL-Versionen (MySQL Community Server) sind 8.0.32 und 5.7.41.
Java-Updates
In Java SE (Standard Edition) hat Oracle insgesamt vier Sicherheitslücken geschlossen, die alle ohne Benutzeranmeldung übers Netzwerk ausnutzbar sind (CVSS-Höchstwert 8.1). Die gefährlichste dieser Lücken betrifft nur die GraalVM für Unternehmen. Die neueste, im September 2022 eingeführte Java-Generation 19 erhält mit Version 19.0.2 bereits ihr letztes Sicherheits-Update. Sie wird im März 2023 durch Java 20 abgelöst. Java 17 ist hingegen wie Java 11 eine LTS-Version (Long Term Support). Beide werden acht Jahre lang mit Updates versorgt. Bei Java 17 ist Version 17.0.6 der neueste Stand, bei Java 11 ist es Version 11.0.18. In Java 19, 17 und 11 hat Oracle zwei Lücken geschlossen. Ab Java 9 bringen Java-basierte Anwendungen selbst mit, was sie brauchen. Im Gegensatz zu Java 8 müssen Sie als Anwender die Java-Laufzeitumgebung (JRE) also nicht selbst installieren und aktualisieren.
▶Die neuesten Sicherheits-Updates
Für Anwender bleibt laut Oracle weiterhin vorwiegend Java 8 (JRE – Java Runtime Environment) relevant und von Oracle empfohlen. Die neueste Version ist Java 8 Update 361 (8u361). Darin hat Oracle ebenfalls zwei Schwachstellen beseitigt. Java 8 wird für den privaten Einsatz auf vorerst unbestimmte Zeit mit kostenlos erhältlichen Sicherheits-Updates versorgt. Oracle will das Support-Ende 18 Monate im Voraus ankündigen. Unternehmen und Behörden müssen hingegen seit April 2019 für diese Updates zahlen, werden dafür jedoch bis Ende 2030 versorgt.
Als Browser-Erweiterung (JRE Plug-in) läuft Java nur noch im obsoleten Internet Explorer 11 sowie im auf altem Firefox/Gecko-Code basierenden Browser Waterfox Classic. Letzterer enthält im Gegensatz zu aktuellen Firefox-Versionen (und Waterfox ab 4.x) noch die alte NPAPI-Schnittstelle für Plug-ins – aber auch diverse seit Jahren klaffende Sicherheitslücken.
VirtualBox
Die quelloffene Virtualisierungslösung VirtualBox ist in den neuen Versionen 7.0.6 und 6.1.42 erhältlich. Darin hat Oracle sechs Schwachstellen beseitigt, von denen eine den CVSS-Score 8.1 erreicht. Nur diese Lücke ist ohne Anmeldung über das Netzwerk ausnutzbar. Hinzu kommen wie immer einige Bug-Fixes.
Der nächste turnusmäßige Oracle CPU-Tag ist am 18. April. Seit April 2022 sind diese Termine stets am dritten Dienstag im Januar, April, Juli und Oktober.
Business, Security