Oracle hat, zeitgleich zum Patchday bei Microsoft und Adobe, sein drittes Quartals-Update (Critical Patch Update, CPU) des Jahres herausgebracht. Fast alle Produkte der Firma sind bei solchen Sammelupdates betroffen, insgesamt gibt es Updates für 193 Lücken. Diesesmal sind es bedeutend mehr Updates als im April und im Januar dieses Jahres.

Mit der CVSS-Einstufung von 9 oder 10 finden sich besonders kritische Lücken in Java, dem E-Billing-Modul von Siebel, dem Oracle Communications Session Border Controller und der Oracle Sun Systems Products Suite. Davon existieren sieben Lücken mit der höchsten CVSS-Einstufung von 10 in Java. Geschlossen wurden insgesamt 25 Java-Lücken, wobei sich 23 davon aus der Ferne ausnutzen lassen. Auch wurde die kürzlich entdeckte Zero-Day-Lücke in Java (CVE-2015-2590) geschlossen.

Insgesamt 18 Sicherheitslücken schließen Updates für MySQL. 10 Lücken wurden in Oracles eigener Datenbank abgedichtet. Die im Januar entdeckte Ghost-Lücke (CVE-2015-0235) wird nun auch in acht weiteren Produkten der Firma abgedichtet, nachdem Oracle sie in der Glibc-Bibliothek in einem seiner Produkte im April geschlossen hatte.

Es sollten alle Updates so schnell wie möglich eingespielt werden, da einige dieser geschlossenen Lücken für aktive Angriffe genutzt werden. Wie die Patches für die einzelnen Produkte bezogen werden können, kann auf der Webseite von Oracle nachgelesen werden. Für das Jahr 2015 ist das letzte Critical Patch Update der Firma für den 20. Oktober geplant.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE