Der Hersteller Oracle hat im Rahmen seines Quartalsupdates ("Critical Patch Update") insgesamt 319 Security-Fixes für zahlreiche Produktfamilien veröffentlicht. Als kritisch gelten viele der dadurch geschlossenen Sicherheitslücken. Aus der Ferne könnten einige davon missbraucht werden, um die Kontrolle über verwundbare Systeme zu übernehmen. Die im Rahmen des Critical Patch Updates bereitgestellten Fixes unverzüglich anzuwenden rät Oracle.

Dem Oracles Update Advisory sind Details zu betroffenen Produkten, geschlossenen Lücken und verfügbaren Updates zu entnehmen. Oracles Angaben zum CVSS (Common Vulnerability Scoring System) helfen bei der Einschätzung des von ihnen ausgehenden Sicherheitsrisikos: In der Tabellenspalte "Attack Vector" informiert die Angabe "Network" des Update Advisory darüber, dass Angriffe "über das Internet", also aus der Ferne, möglich sind.

Noch einmal gesondert weis Oracle im Update Advisory auf zwei – dem Patch Update vorangegangenen – Sicherheitshinweise für WebLogic Server hin. Es wird auf die Ende April geschlossene Lücke CVE-2019-2725 und die im Juni reparierte CVE-2019-2729 verwiesen. Beide Lücken haben es gemeinsam, dass sie ohne Authentifizierung aus der Ferne ausgenutzt werden könnten, um Systeme zu kompromittieren beziehungsweise beliebigen Code auszuführen (Remote Code Execution).

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE