Von Oracles vierteljährlichen Patchupdates ist die gesamte Produktpalette des Unternehmens betroffen: Von Oracle Database bis zum Open-Source-Projekt VirtualBox. Auch Java erhält 20, eine ganze Reihe davon als kritisch eingestufte, Patches. Auf ein Update für MySQL Enterprise Server weist Oracle besonders hin, da es eine Heartbleed-Lücke, über drei Monate nachdem der Horror-Bug öffentlich wurde, schließt.

Daniel Wesemann vom Internet Storm Center hat einen weiteren interessanten Patch entdeckt. Vor einem Jahr wurde ein Bug mit dem XML-Parser in Oracle Database schon mal geschlossen (CVE-2013-3751) – in der Version 11.2 der Datenbank. Bis die Entwickler den entsprechenden Patch auf die neue Version 12.1 portiert haben, scheint es ein volles Jahr gedauert zu haben. "Das spricht Bände über das Software-Entwicklungs-Modell und die Sicherheitsrichtlinien bei Oracle." so Wesemanns Fazit. Die Sache wird dadurch, dass der Bug die höchst mögliche Dringlichkeit nach der CVSS-Risikoeinschätzung hat, noch brisanter.

Auf Grund der potentiellen Gefahr der Sicherheitslücken empfiehlt Oracle seinen Kunden, so schnell wie möglich die Patches einzuspielen. Auf einer Zusammenfassungsseite listet die Firma weitere Details zu den einzelnen Lücken auf.

(mt, hannover)

(siehe auch Heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE