Januar-Updates

Oracle beseitigt mehr als 300 Schwachstellen

Frank Ziemann war 20 Jahre lang selbstständiger IT-Sicherheitsberater und Übersetzer englischsprachiger Fachartikel. Er ist Gründer des Hoax-Info-Service (http://hoax-info.de) an der TU Berlin, den er seit 1997 betreibt.
Mit den vierteljährlichen Sicherheits-Updates schließt Oracle im Januar 318 Sicherheitslücken in seiner umfangreichen Produktpalette. Dazu zählen neben etlichen Branchenlösungen auch Java, VirtualBox und MySQL.

Der US-amerikanische Software-Hersteller Oracle hält seinen Patch Day nur alle drei Monate ab. Oracle spricht dabei von „Critical Patch Updates“ (CPU). Aufgrund des umfangreichen Produktportfolios sowie des relativ langen Update-Turnus fallen dabei regelmäßig mehrere hundert zu beseitigende Lücken an. Im Januar sind 318 Schwachstellen zusammengekommen – die niedrigste Anzahl der letzten fünf Jahre.

Etliche der beseitigten Schwachstellen sind als kritisch einzustufen. Angaben dazu, ob Schwachstellen bereits für Angriffe ausgenutzt werden (0-Day-Lücken), macht Oracle nicht. Für die Risikobewertung nutzt Oracle den Industriestandard CVSS 3.1 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist. Auch Microsoft gibt seit einiger Zeit einen CVSS-Score für beseitigte Sicherheitslücken an.

Die dicksten Brocken

Die mit Abstand meisten Sicherheitslücken hat Oracle, wie schon im April und Juli, in seiner Produktfamilie für die Telekommunikationsbranche (Communications) geschlossen. Von den 85 Lücken sind 59 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, davon erreichen drei den CVSS-Score 9.8. Der quelloffene Datenbank-Server MySQL folgt mit 39 behobenen Schwachstellen. Hier sind vier Lücken ohne Benutzeranmeldung über das Netzwerk ausnutzbar, drei erreichen den CVSS Score 9.1. Die neuesten verfügbaren MySQL-Versionen (MySQL Community Server) sind 9.2.0 („Innovation“), 8.4.4 (LTS – Long Term Support) und 8.0.41.

Produkte für Banken und Finanzdienstleister (Financial Services) erhalten Updates gegen 31 Schwachstellen, von denen 24 ohne Benutzeranmeldung über das Netzwerk ausnutzbar sind. Zwei dieser Lücken haben den CVSS Score 9.8. Fusion Middleware kommt auf 22 gestopfte Lücken. Davon sind 18 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, zwei erreichen den CVSS-Score 9.8.

Java-Updates

In Java SE (Standard Edition) hat Oracle gerade einmal zwei Sicherheitslücken geschlossen (CVSS-Höchstwert 7.5), von den eine ohne Benutzeranmeldung übers Netzwerk ausnutzbar ist. Im September letzten Jahres hatte Oracle Java 23 veröffentlicht, das nun bereits sein letztes Sicherheits-Update auf Version 23.0.2 erhält. Im März wird Java 23 durch Java 24 abgelöst. Java 21 aus dem September 2023 ist hingegen eine LTS-Version (Long Term Support). Auch Java 17 und Java 11 sind LTS-Versionen. Sie werden acht Jahre lang mit Updates versorgt. Der neueste Stand sind die Versionen 21.0.6, 17.0.14 und 11.0.26. Ab Java 9 bringen Java-basierte Anwendungen selbst mit, was sie brauchen. Im Gegensatz zu Java 8 müssen Sie als Anwender die Java-Laufzeitumgebung (JRE) also im Regelfall nicht selbst installieren und aktualisieren

Für Anwender bleibt laut Oracle weiterhin vorwiegend Java 8 (JRE – Java Runtime Environment) relevant und von Oracle empfohlen. Die neueste Version ist Java 8 Update 441 (8u441). Darin hat Oracle zwei Schwachstellen beseitigt. Java 8 wird für den privaten Einsatz auf vorerst unbestimmte Zeit mit kostenlos erhältlichen Sicherheits-Updates versorgt. Oracle will das Support-Ende 18 Monate im Voraus ankündigen. Unternehmen und Behörden müssen hingegen seit April 2019 für diese Updates zahlen, werden dafür jedoch bis Ende 2030 versorgt.

Die Updates für Java 11 (LTS) sind bereits seit Herbst 2022 für kommerzielle Nutzung kostenpflichtig. seit Oktober 2024 gilt dies auch für Java 17 (LTS). Abonnenten erhalten dafür Updates bis Januar 2032 (Java 11) sowie September 2029 (Java 17). Die Veröffentlichung der nächsten LTS-Version Java 25 ist für September 2025 vorgesehen. Ein Jahr danach werden Updates für Java 21 (LTS) Abo-pflichtig, also ab September 2026. Für private Nutzung und Entwickler bleibt jedoch weiterhin alles kostenlos.

VirtualBox

Die quelloffene Virtualisierungslösung VirtualBox ist in der neuen Versionen 7.1.6 erhältlich. Auch der ältere Versionszweig 7.0 erhält weiterhin Updates – dessen aktuelle Version ist 7.0.24. In beiden hat Oracle zwei Schwachstellen (max. CVSS 7.3) beseitigt, von denen keine übers Netzwerk ausnutzbar ist. Womöglich lässt es eine der beiden Lücken zu, Code aus der VM auf dem Host-System auszuführen.

Der nächste turnusmäßige Oracle CPU-Tag ist am 15. April 2025. Seit April 2022 sind diese Termine stets am dritten Dienstag im Januar, April, Juli und Oktober. (PC-Welt/kk)

Zur Startseite