Oracle hat mit seinem Critical Patch Update für April 104 Sicherheitslücken in insgesamt 34 verschiedenen Produkten geschlossen. Fixes für das bereits vor vier Wochen erschienene Java 8 und auch für Java 5,6,7. Die Firma schließt des weiteren Lücken in Oracle Database 11 und 12, der Fusion Middleware, in Solaris, MySQL und in VirtualBox.

Vier für Lücken mit dem höchstmöglichen CVSS Base Score von 10.0 – diese müssen als sehr kritisch angesehen werden und betreffen die Java Versionen 5 bis 8 - befinden sich unter den Sicherheitsupdates. Eine Lücke in Oracles Secure Global Desktop, ebenso wie fünf weitere Java-Lücken haben einen Base Score von 9.3.

Die Firma schließt insgesamt 37 Java-Lücken, die bis auf eine Ausnahme über das Netzwerk ausgenutzt werden können; die meisten, ohne dass eine Authentifizierung erfolgen muss. Noch ist nicht klar, wie viele der 30 Lücken, die Sicherheitsexperte Adam Gowdiak am Anfang des Monats veröffentlicht hatte und von denen die Mehrzahl vertraulich an Oracle gemeldet wurden, von Oracle als Teil des Critical Patch Updates geschlossen wurden.

Auf Oracles Webseite findet sich eine detaillierte Liste aller im Update-Paket enthaltenen Sicherheitsupdates zu dem Update. Die Firma empfiehlt auf Grund der Schwere der zugrundeliegenden Lücken ihren Kunden, die Updates so schnell wie möglich einzuspielen.

(jk, hannover)

(siehe auch Heise-News Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE