Schlagwort: Oracle Corp

Oracle startet das Jahr mit 284 Sicherheitsupdates | heise Security

Admins, die Software von Oracle verwalten, sollten nach aktuellen Versionen Ausschau halten. Der Hardware- und Softwarehersteller hat in seinem ersten Quartalssammelupdate in diesem Jahr insgesamt 284 Sicherheitsupdates veröffentlicht. Den Großteil der Lücken haben Sicherheitsforscher von Trend Micros Zero Day Initiative und Secunia Research entdeckt und an Oracle gemeldet.

Betroffene Software

Die aktualisierten Updates sollten zügig den Weg auf Computer finden, da viele der Sicherheitslücken mit dem Bedrohungsgrad “kritisch” eingestuft sind. Darunter fallen beispielsweise Banking Platform, diverse Communications Applications, Fusion Middleware und MySQL Workbench. In einer Sicherheitswarnung listet Oracle betroffene Software auf und gibt weitere Infos zu den Lücken.

In vielen Fällen könnten Angreifer mit vergleichsweise wenig Aufwand Attacken über das Internet starten und ohne Authentifizierung auf Systeme zugreifen. Oft ist das Ausführen von Schadcode möglich, sodass Angreifer unter Umständen Computer oder sogar Netzwerke komplett übernehmen könnten.

Die geschlossenen Sicherheitslücken in Java SE sind mit dem Bedrohungsgrad “mittel” und “niedrig” eingestuft. Auch in VM VirtualBox gilt keine Schwachstelle als “kritisch” – der Großteil ist mit der Risikobewertung “hoch” ausgezeichnet.

Oracle weist darauf hin, dass Admins sicherstellen sollten, auch abgesicherte Software aus vorigen Quartalsupdates installiert zu haben. Der Softwarehersteller veröffentlicht viermal im Jahr in Form des Critical Patch Update Sicherheitspatches. Das nächste Sammelupdate ist für 16. April 2019 geplant. Dazwischen gibt es nur in Ausnahmefällen Sicherheitsupdates, etwa wenn Angreifer aktiv eine Software attackieren.

(des)

Source

Categories: Sicherheit

Tags:

Kritische Lücken in Oracle Database – Hersteller rät zu sofortigem Update | heise Security

Kritische Lücken in Oracle Database – Hersteller rät zu sofortigem Update


Alert!

15.08.2018 12:10 Uhr
Olivia von Westernhagen

Oracle

(Bild: dpa, Everett Kennedy Brown)

Einige Versionen von Oracle Database weisen eine Sicherheitslücke auf, die die Systemübernahme aus der Ferne ermöglicht. Ein Notfall-Patch steht bereit.

Eine Sicherheitslücke in mehreren Versionen des Datenbankmanagementsystems Oracle Database hat den Hersteller dazu veranlasst, von seiner monatlichen Patch-Routine abzuweichen. In einem Security Alert Advisory schreibt Oracle, dass die Lücke einem entfernten Angreifer im schlimmsten Fall die vollständige Systemkompromittierung einschließlich Shell-Access zum Server ermöglichen könnte. Angesichts eines CVSS-v3-Score von 9.9 (“critical”) wird ein sofortiges Update dringend empfohlen.

Angriffspunkt ist die Java-VM-Komponente von Database. Die Komplexität des Remote-Angriffs auf die mit CVE-2018-3110 bezeichnete Lücke ist laut Advisory niedrig; Voraussetzung ist allerdings das Eröffnen einer Session und somit eine Anmeldung mit entsprechenden Zugriffsrechten.

Patches sind verfügbar

Für die verwundbaren Database-Versionen 11.2.0.4 und 12.2.0.1 unter Windows stehen neue Patches bereit. Registrierte Nutzer können sie aus dem Kundenbereich der Oracle-Website abrufen.

Betroffen sind auch die Version 12.1.0.2 unter Windows sowie sämtliche Linux-/Unix-Versionen von Database. Allerdings hat Oracle diese Versionen bereits mit dem regulären Critical Patch Update im Juli gefixt. Wer versäumt hat, es einzuspielen, sollte dies also umgehend nachholen.

(ovw)

Source

Categories: Sicherheit

Tags: