Oracle Critical Patch Update Januar 2013 Sicherheitslücken in Java und weiteren Oracle-Anwendungen

Autor / Redakteur: Wolfgang Kandek, CTO Qualys / Peter Schmitz |

Der Kampf gegen Sicherheitslücken geht weiter, diesen Monat auch für Oracle. Zuerst wurde die Sicherheitslücke in der Java-Laufzeitumgebung Version 7 Update 10 von Update 11 gepatcht und nun kommen die Critical Patch Updates Januar 2013.

Anbieter zum Thema

Statt einmal pro Monat wie bei Microsoft gibt es bei Oracle Sicherheitsupdates turnusgemäß einmal pro Quartal. Die heißen dann aber trotzdem noch Critical Patch Update (CPU). Zumindest Java patcht der Hersteller separat nach Bedarf.
Statt einmal pro Monat wie bei Microsoft gibt es bei Oracle Sicherheitsupdates turnusgemäß einmal pro Quartal. Die heißen dann aber trotzdem noch Critical Patch Update (CPU). Zumindest Java patcht der Hersteller separat nach Bedarf.
(Bild: bofotolux, Fotolia.com)

Informationen zu der Sicherheitslücke in Oracle Java Runtime Environment (JRE) Version 7 Update 10 wurden erstmals am 10. Januar bekannt. Die Forscher, die sie veröffentlichten, hatten auf einer populären Website einen Exploit gefunden, der alle Besucher angriff, die Java 7 in ihrem Browser installiert hatten.

Noch am selben Tag folgte die Meldung, dass dieser Exploit in ein beliebtes Exploit-Kit aufgenommen worden war, was seine Verbreitung weiter förderte. Daraufhin veröffentlichte das BSI am 11. Januar eine Warnung vor dem Einsatz von Java.

Oracle reagierte schnell und stellte am Sonntag, den 13. Januar einen Patch auf Java 7 Update 11 bereit, den alle Anwender und Administratoren schnellstmöglich installieren sollten.

Es gibt jedoch auch beim Update 11 bereits mehrereHInweise auf Exploits für weitere Sicherheitslücken. IT-Administratoren sollten sich bemühen, die Anfälligkeit für diese Art von clientbasierten Angriffen zu verringern. Wenn Java auf einem Client-Rechner nicht verwendet wird, kann es deinstalliert werden; falls es für lokale Anwendungen benötigt wird, sollte man es im Browser deaktivieren, da dies der Angriffsvektor ist, den die Exploits am häufigsten nutzen. In der neuesten Version von Java lässt sich die Deaktivierung über das Java Control Panel in der Systemsteuerung leicht mit einem Mausklick bewerkstelligen.

Sicherheit einmal pro Quartal: Oracle Critical Patch Updates

Wo Microsoft einmal im Monat einen Patchday hat, Beschränkt sich Oracle auf seine vierteljährlichen Critical Patch Updates (CPU) zum Schließen von Schwachstellen in seinen Produkten.

Das CPU für Januar 2013 behebt mehr als 80 Schwachstellen in 10 Produktgruppen. Angesichts der beträchtlichen Anzahl von Produkten, die gepatcht werden müssen, ist es wichtig, dass Administratoren eine gute Übersicht über die Software in ihrem Unternehmen und die jeweils installierten Versionen haben. Die am stärksten gefährdeten Dienste sollten dabei zuerst gepatched werden. In diesem Monat liegt MySQL hier an erster Stelle. Zum Glück ist Oracle Core-RDBMS in den meisten Installationen nicht betroffen.

Für Oracle RDBMS gibt es nur ein Update, und zwar für das Modul Spatial. Bei vielen Oracle RDBMS wird diese Option gar nicht installiert sein, sodass sie in diesem Quartal möglicherweise ohne Patches auskommen. Anwender der Mobile/Lite-Version der Oracle Datenbank müssen sich um fünf Lücken kümmern, die teilweise einen CVSS-Höchstwert von 10 erreichen, also äußerst kritisch sind.

In Oracles populärer Datenbank MySQL wurden 18 Schwachstellen behoben. Der höchste CVSS-Wert in dieser Gruppe ist 9.0 – die betreffenden Schwachstellen sind demnach gravierend, und es ist sehr ratsam, sie schnell zu patchen.

In der Produktgruppe Oracle Fusion wurden sieben Lücken geschlossen, davon zwei in Oracle "Outside In". Oracle Outside In ist ein SDK, das von externen Herstellern zur Dateikonvertierung verwendet wird. Einer dieser externen Hersteller ist Microsoft, der Outside In im Exchange Mail Server für Outlook Web Access einsetzt. Microsoft hat letztes Jahr zwei Updates für Exchange herausgegeben, teilweise aufgrund der notwendigen Aktualisierung des Outside In SDKs.

In Oracle Solaris werden acht Anfälligkeiten korrigiert, unter denen jedoch keine per Fernzugriff ausnutzbaren Schwachstellen sind. Solaris-Administratoren sollten sich diese Anfälligkeiten ansehen und einen angemessenen Rollout-Zeitplan festlegen. Weitere Produktbereiche, für die Sicherheitsupdates bereitgestellt wurden, sind Peoplesoft, JD Edwards, Supply-Chain, E-Business und VirtualBox. Die Nutzer dieser Produkte sollten ermitteln, welche Patches für ihre Umgebung in Frage kommen.

Speziell die MySQL-Patches sollten bei diesem Oracle CPU die höchste Priorität haben. Wie sich die Outside In-Updates auf Microsoft Exchange auswirken muss sich erst noch zeigen. Das nächste Critical Patch Update für Oracle Producte ist für den 16. April 2013 angekündigt.

(ID:37724820)