Oracle sichert seine Produkte mit 349 Updates ab

Die gerade von Oracle veröffentlichten wichtigen Sicherheitspatches schließen unter anderem kritische Lücken in allen Anwendungen. Admins, die in ihren Unternehmen oder bei ihren Kunden Software von Oracle einsetzen (beispielsweise Datenbanken am Internetserver), sollten jetzt die aktuellen Sicherheitsupdates installieren. Der Softwarehersteller veröffentlicht Patches immer quartalsweise gesammelt. Diese Sammel-Updates kommen unter der Bezeichnung Oracle Critical Patch Update und im Juli sind darunter immerhin 349 Sicherheitspatches. Davon ist im Grunde das gesamte Software-Portfolio betroffen - es geht vom Autonomous Health Framework über NoSQL Database bis hin zu den Siebel Applications. Einige der Lücken sind echt gefährlich Entfernte Angreifer könnten zum Beispiel ohne Anmeldung an einer „kritischen“ Sicherheitslücke (CVE-2022-35169) in Oracle Database - Enterprise Edition den Hebel ansetzen. Weitere kritische Schwachstellen stecken unter anderem in Produkten aus Oracle Commerce, Communications Applications und Enterprise Manager. Wegen der Einstufung der Lücken ist anzunehmen, dass potentielle Angreifer Systeme nach erfolgreichen Angriffen komplett kompromittieren können. Deshalb sollten die Admins die Liste mit den betroffenen Anwendungen genau studieren und die für sie relevanten Sicherheitsupdates bald installieren. In der Vergangenheit kam es schon mehrfach vor, dass Lücken in Anwendungen des Software-Herstellers als Schlupflöcher für Angreifer dienten. Bisher gibt es aber noch keine Berichte über aktuell laufende Attacken.

2022-07-20T09:18:33+02:00Juli 20th, 2022|Allgemein|Kommentare deaktiviert für Oracle sichert seine Produkte mit 349 Updates ab
Weiterlesen

Oracle stellt 520 Sicherheitspatches bereit

Die Admins von Oracle-Anwendungen sollten die verfügbaren Aktualisierungen installieren, um zum Teil kritische Sicherheitslücken in der Software zu schließen. Oracle veröffentlicht Sicherheitsupdates in aller Regel gesammelt quartalsweise. Diese Pakete nennt der Softwarehersteller Critical Patch Update und in diesem Quartal sind darin insgesamt 520 Sicherheitspatches enthalten. Die Updates betreffen nicht nur hauseigene Anwendungen des Herstellers, sondern auch Software von Drittanbietern, die Oracle einsetzt. Möglichst umgehend patchen! Als "kritisch" bewertete Lücken betreffen unter anderem Blockchain Platform, Communications Applications und die E-Business Suite. In diesen Programmen können Angreifer die Schwachstellen in der Regel aus der Ferne und auch ohne Authentifizierung für Schadcode-Attacken ausnutzen. Wenn das klappt, könnten Angreifer zum Beispiel eine Hintertür installieren, um sich darüber dauerhaft in betroffenen Systemen einzunisten. In seinem umfangreichen Beitrag rät der Software-Hersteller den Admins, die Patches jetzt zügig zu installieren. Es komme wohl immer wieder zu Angriffen, weil Systeme nicht auf dem aktuellen Stand seien. Admins sollten den Beitrag genaustens lesen, um von ihnen eingesetzte bedrohte Software ausfindig zu machen und Aktualisierungen vorzunehmen. Das nächste Patch-Paket von Oracle ist für den 19. Juli 2022 geplant.

2022-04-20T11:33:49+02:00April 20th, 2022|Coding, MySQL, Webwerkzeuge|Kommentare deaktiviert für Oracle stellt 520 Sicherheitspatches bereit
Weiterlesen

Oracle bringt 390 Patches für seine Software

Im Zuge seines Quartalsupdates patcht Oracle seine gesamte Software und schließt dabei auch einige kritische Sicherheitslücken. Was muss alles gepatcht werden? Wegen der großen Anzahl an Patches sollten insbesondere Admins die Sicherheitswarnung des Software-Herstellers genau studieren und herausfinden, welche der Patches für sie relevant sind. Bei einigen der Patches ist wegen der Einstufung der damit geschlossenen Sichrheitslücken als "kritisch" sehr zügiges Handeln gefragt. Kritische Lücken stecken unter anderem in Oracle Communications Design Studio, Applications Session Controller und Instantis Enterprise Track. Nach einer erfolgreichen Attacke ist damit zu rechnen, dass die Angreifer Schadcode ausführen und damit dann die volle Kontrolle über die Systeme erlangen könnten. In Oracles Critical Patch Update Advisory - April 2021 sind alle betroffenen Produkte und die dazugehörige Dokumentation zu finden. Nehmen Sie sich aber ausreichend Zeit dafür, denn die Liste ist lang! Die nächste Sammlung von Sicherheitsupdates will Oracle wieder wie immer in drei Monaten am 20. Juli 2021 herausgeben.

2021-04-21T12:38:54+02:00April 21st, 2021|Javascript, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Oracle bringt 390 Patches für seine Software
Weiterlesen

Critical Patch Update bei Oracle

Bei seinem Quartalsupdate "Critical Patch Update" hat der Datenbank-Hersteller Oracle insgesamt 319 Patches für zahlreiche der Produktfamilien veröffentlicht. Eine große Zahl der damit geschlossenen Sicherheitslücken wurden als kritischeingeordnet. Mehrere dieser Sicherheitslücken könnten aus der Ferne missbraucht werden, um die verwundbaren Systeme zu übernehmen, weshalb Oracle seinen Kunden dazu rät, die im Rahmen des Critical Patch Updates bereitgestellten Patches umgehend einzuspielen. Details zu den geschlossenen Sicherheitslücken Weitergehende Details zu den betroffenen Produkten, geschlossenen Lücken und verfügbaren Updates kann man Oracles Update Advisory entnehmen. Bei der Einschätzung des Sicherheitsrisikos der einzelnen Schwachstellen helfen Oracles Angaben zum CVSS (Common Vulnerability Scoring System): CVSS-v3-Scores ab 7.0 bis einschließlich 8.9 stehen für ein "hohes" Sicherheitsrisiko; Scores von 9.0 bis 10.0 stehen für "critical". Die zusätzliche Angabe "Network" unter "Attack Vector" im Update Advisory sagt aus, dass Angriffe "über das Internet", also aus der Ferne, ausgeführt werden können.

2019-07-17T12:18:02+02:00Juli 17th, 2019|MySQL, Webwerkzeuge|Kommentare deaktiviert für Critical Patch Update bei Oracle
Weiterlesen

Oracles Java-9-Modulsystem ohne Mehrheit

Der aktuelle Entwicklungsstand des Java Platform Module System (JPMS) hat in der Abstimmung beim Public Review Ballot  keine Mehrheit bekommen. Oracle, das die Entwicklung des für Java 9 geplanten Modulsytems für die Programmierplattform federführend ist, hat jetzt noch einen Monat Zeit, den zuständigen Java Specification Request JSR 376 zu überarbeiten. Dann wird das Expertengremium innerhalb des Java Community Process (JCP) noch einmal über das Modularisierungsprojekt Jigsaw abstimmen. Sollte Jigsaw wieder nicht die erforderliche Zweidrittelmehrheit bekommen, muss es nach den Regeln des JCP gestoppt werden, was dann auch das Scheitern des Projektes Jigsaw besiegeln würde. Nur 10 der 23 Stimmberechtigten sprachen sich gestern für den Vorschlag von Oracle aus. Red Hat und IBM kritisierten, dass Jigsaw zwar erfolgreich bei der Modularisierung von Java selbst funktioniert habe, aber in "echten" Anwendungsszenarien weitgehend ungeprüft sei und viele existierende Java-Anwendungen unter Jigsaw nicht möglich seien oder erhebliche Architekturanpassungen erfordern würden.

2017-05-10T11:02:03+02:00Mai 10th, 2017|Javascript|Kommentare deaktiviert für Oracles Java-9-Modulsystem ohne Mehrheit
Weiterlesen

Java 8u91/92 bringt mehr Sicherheit

Gerade werden von Oracle die Updates JDK 8u91 und 8u92 verteilt, die vor allem die Sicherheit verbessern sollen. Dabei geht es diesmal nicht nur wie üblich um kritische Fehler in Java selbst, sondern der Umgang mit unsicheren Signaturen und potenziellen Angriffen durch das Ausnutzen von Fehlern stehen im Fokus. Die JVM (Java Virtual Machine) hat nun zwei neue Optionen, die den Umgang mit Out-of-Memory-Fehlern bestimmen, die die Virtual Machine bisher selbst behandelt hat. Bei Nutzung des Flags ExitOnOutOfMemory stoppt sie jetzt, sobald der Hauptspeicher nicht mehr ausreicht. Wenn ein Nutzer das Flag CrashOnOutOfMemory setzt, führt der Fehler zum Absturz der JVM, der dann entsprechende Einträge in den Log-Dateien erzeugt. Der Message-Digest Algorithm 5 (MD5) gilt schon länger als unsicher, weil das Erzeugen unterschiedlicher Nachrichten mit denselben MD5-Hashes recht einfach möglich ist. Deshalb akzeptiert die JSSE-Implementierung (Java Secure Socket Extension) inzwischen standardmäßig keine MD5withRSA-Signaturen mehr. Wer im Legacy-Bereich weiterhin auf MD5 angewiesen ist, muss sie erst manuell aus der Liste der deaktivierten Algorithmen (jdk.tls.disabledAlgorithms) wieder entfernen. Auch diesmal gibt es wie immer wieder eine große Anzahl von Bugfixes. Alle Neuerungen im  JDK 8u91/8u92 finden Sie in den Release Notes. Auf der Download-Seite stehen das JDK und auch die Laufzeitumgebungen (JRE) für Clients und Server in den aktuellen Versionen zum Download bereit.

2016-04-20T18:02:42+02:00April 20th, 2016|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Java 8u91/92 bringt mehr Sicherheit
Weiterlesen

Sicherheitslücken im PHP File Manager

Das Programm PHP File Manager kann man für nur 5 Dollar kaufen. Man installiert es dann auf seinem Internetserver und kann danach beliebige Dateien zwischen seinem PC und dem Server einfach mit dem Browser austauschen. Dummerweise können das alle anderen auch – vom Programmierer bis zum Hacker! Weil es so bequem ist, nutzen offensichtlich auch viele große Unternehmen das Tool zum Dateitransfer. Dazu gehören beispielsweise Eneco, Nintendo, Danone, Nestle, Loreal, EON, Siemens, Vattenfall, Oracle, Oxford, Hilton, T-Mobile, CBS, UPC und 3M (und vermutlich noch viele andere), von deren Internetservern seitdem jedermann vertrauliche Dateien ohne Probleme herunterladen kann. Denn in dem PHP-Skript PHP File Manager schlummern seit mindestens fünf Jahren mehrere kritische Sicherheitslücken, die der Hersteller kennt, aber einfach nicht schließt. Darauf macht Security-Berater Sijmen Ruwhof in seinem Blog jetzt aufmerksam. So soll es zum Beispiel durch zwei Lücken möglich sein, über das Skript ohne Authentifizierung Code auf den Server zu laden und auch auszuführen. Das Schärfste daran ist aber ein speziell versteckter Superuser mit dem Namen  ****__DO_NOT_REMOVE_THIS_ENTRY__****,  der in allen Installationen des File Managers dasselbe Passwort nutzt. Um es Hackern einfach zu machen, ist dies Passwort auch gleich als MD5-Hash im Script. Hersteller Revivedwire hat den PHP File Manager inzwischen auf verschämte Art und Weise auf seinem Vertriebsserver gesperrt. Man liest dort ein unverfängliches „Wir konnten die aufgerufene Seite leider [...]

2015-07-28T10:31:10+02:00Juli 28th, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Sicherheitslücken im PHP File Manager
Weiterlesen

Zweite Entwicklerversion von MySQL angekündigt

Von Oracle wurde das zweite Development Milestone Release (DMR) für MySQL 5.7 Auf der Konferenz MySQL Connect angekündigt. Besonders die Geschwindigkeit der neuen Version hat sich deutlich verbessert. Sie skaliert bis zu 64 CPUs linear und schafft mit InnoDB bei Lesezugriffen mit POINT SELECT immerhin 500.000 Abfragen pro Sekunde! Auch die Replikation wurde verbessert und beschleunigt. MySQL 5.7.2 DMR bietet zudem eine verlustfreie, semi-synchrone Replikation, bei der Transaktionen nur dann bestätigt werden, wenn ein Slave-Server sie empfangen hat. Weitere Details zu MySQL 5.7.2 DMR kann man bei Golem nachlesen.

2013-09-23T08:00:05+02:00September 23rd, 2013|Allgemein|Kommentare deaktiviert für Zweite Entwicklerversion von MySQL angekündigt
Weiterlesen

Oracle bringt neues Schema für Java-Versionsnummern

Mit dem nächsten JDK-7-Update, das am 18. Juni geplant ist, will Oracle nach Informationen von Heise ein neues Versionsnummernschema für Java einführen. Als Grund gibt Oracle die in letzter Zeit häufiger gewordenen Sicherheitsupdates für Java an. Im neuen Schema erhalten normale Updates mit Fehlerkorrekturen bzw.  Funktionserweiterungen in der Unternummer ein Vielfaches von 20. Sicherheitsupdates bekommen  dann die ungeraden Zahlen 5, 11 oder 15 in der Unternummer. Auf diese Weise sollen sich Fehlerkorrekturen einfacher von kritischen Sicherheitsupdates unterscheiden. Sie können dann auch separat und damit rückwirkend veröffentlicht werden. Auf das derzeit aktuelle JDK7u21 folgen also als nächste „normale“ Updates die Versionen  JDK7u40 beziehungsweise JDK7u60. Die nächsten Sicherheitsupdates für das JDK7u40 erhalten  dann die Versionsnummern 7u45, 7u51 und 7u55.

2013-05-15T08:31:41+02:00Mai 15th, 2013|Javascript|Kommentare deaktiviert für Oracle bringt neues Schema für Java-Versionsnummern
Weiterlesen

Mozilla Firefox startet Java-Updates nur auf Nachfrage

Sogar das allerneueste Java-Plugin Java 7 Update 15 blockiert der Firefox-Browser, weil er auf den Click-to-Play-Modus umgeschaltet wurde. So wird die Ausführung von Javascript zwar nicht komplett geblockt, aber mit einer deutlichen Hürde versehen.  Jetzt zahlt es sich gerade bei kommerziellen Internetseiten wie Onlineshops aus, wenn der Ersteller der Seiten so gearbeitet hat, dass die Funktionen auch ohne Javascript mit reinem HTML laufen. Die Firmen Oracle, Adobe und Microsoft sehen in diesem Monat nicht besonders gut aus mit ihren vielen Updates. Es hat wohl auch noch nie einen Monat mit mehr Patches, aber auch keinen mit mehr Angriffen auf sie Internetseiten großer Unternehmen über Sicherheitslücken in Java, Flash oder PDF gegeben.

2013-02-28T20:31:43+02:00Februar 28th, 2013|HTML, Javascript|Kommentare deaktiviert für Mozilla Firefox startet Java-Updates nur auf Nachfrage
Weiterlesen
Nach oben