Critical Patch Updates

Oracle schließt über 500 Sicherheitslücken

20.04.2022
Von 
Frank Ziemann war 20 Jahre lang selbstständiger IT-Sicherheitsberater und Übersetzer englischsprachiger Fachartikel. Er ist Gründer des Hoax-Info-Service (http://hoax-info.de) an der TU Berlin, den er seit 1997 betreibt.
Mit den Quartals-Updates im April beseitigt Oracle 520 Schwachstellen in seiner umfangreichen Produktpalette. Dazu zählen neben etlichen Branchenlösungen auch Java, VirtualBox und MySQL.
Oracle schließt 520 Sicherheitslücken.
Oracle schließt 520 Sicherheitslücken.
Foto: Santiparp Wattanaporn - shutterstock.com

Der US-amerikanische Software-Hersteller Oracle hält seinen Patch Day nur alle drei Monate ab. Oracle spricht dabei von „Critical Patch Updates“ (CPU). Aufgrund des umfangreichen Produktportfolios sowie des relativ langen Update-Turnus fallen dabei regelmäßig mehrere hundert zu beseitigende Lücken an. Beim ersten CPU-Tag des Jahres im Januar waren es 497, im April sogar 520 zu stopfende Lücken. Dies ist die höchste Anzahl jemals durch Oracle bei einem CPU-Tag geschlossener Sicherheitslücken.

Etliche der beseitigten Schwachstellen sind als kritisch einzustufen. Für die Risikobewertung nutzt Oracle den Industriestandard CVSS 3.1 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist. Auch Microsoft gibt seit einiger Zeit einen CVSS-Score für beseitigte Sicherheitslücken an.

Die dicksten Brocken

Die meisten Sicherheitslücken hat Oracle auch diesmal in seinen Produkten für die Telekommunikationsbranche (Communications) geschlossen. Von den 149 gestopften Lücken sind 98 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, zwei davon erreichen den CVSS-Score 10.0, 31 Schwachstellen liegen mit 9.8 knapp darunter. Mit 43 behobenen Schwachstellen liegt auch der quelloffene Datenbank-Server MySQL in der Spitzengruppe. Hier sind 11 Lücken ohne Benutzeranmeldung über das Netzwerk ausnutzbar, zwei erreichen den CVSS Score 9.8. Die neuesten MySQL-Versionen (MySQL Community Server) sind noch immer 8.0.28 und 5.7.37.

Java

In Java SE (Standard Edition) hat Oracle insgesamt sechs Sicherheitslücken geschlossen. Alle sind ohne Benutzeranmeldung übers Netzwerk ausnutzbar (CVSS-Höchstwert 7.5). Die neueste, gerade im März 2022 eingeführte Java-Generation 18 erhält mit Version 18.0.1 ihr erstes Sicherheits-Update. Im Juli wird ein zweites und damit auch schon das letzte Update folgen, bevor im September die Ablösung durch Java 19 erfolgt. Java 17 ist hingegen wie Java 11 eine LTS-Version (Long Term Support). Beide werden acht Jahre lang mit Updates versorgt. Bei Java 17 ist Version 17.0.3 der neueste Stand, bei Java 11 ist es Version 11.0.15.

Für Anwender bleibt weiterhin vorwiegend Java 8 (JRE – Java Runtime Environment) relevant, das für den privaten Einsatz auf vorerst unbestimmte Zeit mit kostenlos erhältlichen Sicherheits-Updates versorgt wird. Oracle beabsichtigt das Support-Ende 18 Monate im Voraus anzukündigen. Kommerzielle Verwender müssen hingegen seit April 2019 für diese Updates zahlen, werden dafür jedoch bis Ende 2030 versorgt. Die neueste Version ist Java 8 Update 331 (8u331). Als Browser-Erweiterung (JRE Plug-in) läuft Java nur noch im Internet Explorer 11 sowie im auf Firefox/Gecko basierenden Browser Waterfox Classic, der im Gegensatz zu aktuellen Firefox-Versionen (und Waterfox 4.x) noch die alte NPAPI-Schnittstelle für Plug-ins mitbringt.

VirtualBox

Für die quelloffene Virtualisierungslösung VirtualBox ist ein Update auf die Version 6.1.34 erhältlich. Darin hat Oracle fünf Schwachstellen beseitigt, von denen eine den CVSS-Score 7.8 erreicht, jedoch nur Windows-Systeme betrifft. Hinzu kommen zahlreiche Bug-Fixes.

Der nächste turnusmäßige Oracle CPU-Tag ist am 19. Juli 2022. (PC-Welt)