248 Updates – Oracle stellt Patch-Rekord ein

Martin Schindler,
Oracle (Bild: Oracle)

Mit einem Umfangreichen Patch-Day im Januar schließt Oracle auch in wichtigen Enterprise-Lösungen zahlreiche Lecks. Kritische Lecks mit der höchsten Risikoeinschätzung gibt es vor allem in Java SE.

Oracle startet das Patch-Jahr 2016 mit einem Rekord. Insgesamt veröffentlicht der Hersteller bei dem vierteljährlichen Critical Patch Update (CPU) 248 Patches für verschiedene Produkte. Rund 100 davon lassen sich Remote ohne Authentifizierung ausnutzen.

Es ist Oracles bislang umfangreichste Aktualisierung und womöglich ist diese Zahl auch in der gesamten Branche bislang ohne Beispiel. Am letzten Patch-Tag von Oracle im Oktober 2015 schloss der Hersteller insgesamt 154 Lecks. Im Schnitt behebt Oracle etwa 100 Lecks mit einem Patch-Tag. Allerdings zeigt sich in den zurückliegenden Jahren ein stetiger Anstieg bei Patches.

behobenen Lecks in Oracle-Produkten steigt über die Jahre hin an. (Bild: ERPScan)
Die Zahl der behobenen Lecks in Oracle-Produkten steigt über die Jahre hin an. (Bild: ERPScan)

In der Oracle Enterprise Business Suite (EBS) schließt Oracle 78 Lecks. Nur Adobe Flash hat bislang in einem einzigen Patch-Tag mehr Aktualisierungen bekommen. Oracles Konkurrenzprodukt zu SAP kommt vor allem bei ganz großen Unternehmen zum Einsatz, fast alle Fortune-500-Unternehmen setzten die Oracle-ERP-Lösung ein. Damit zeigt sich, dass auch in großen und vor allem kritischen Unternehmenslösungen jetzt häufiger Lecks entdeckt und geschlossen werden. Bislang gab es bei Oracle meist um Java, MySQL und Datenbanken einen Schwerpunkt. Im aktuellen Fall macht Oracle EBS fast ein Drittel aller Patches aus. Auf Fusion Middleware entfallen 11 Prozent und auf PeopleSoft 4 Prozent.

Vor allem die 78 Lecks in Oracles ERP-Suite Enterprise Business Suite sind auffällig, auch wenn die meisten Lecks lediglich eine moderate Bedrohung darstellen. (Bild: ERPScan)
Vor allem die 78 Lecks in Oracles ERP-Suite Enterprise Business Suite sind auffällig, auch wenn die meisten Lecks lediglich eine moderate Bedrohung darstellen. (Bild: ERPScan)

“Jedes dieser 78 Probleme sind von großer Bedeutung, weil sie allesamt unternehmenskritische Anwendungen auf Basis der E-Business-Suite betreffen, wie etwa die Value Chain Execution Suite, Value Chain Planning, Advanced Procurement, Supply Chain Management, Project Portfolio Management, Human Capital Management und CRM”, teilen die Forscher von ERPScan mit, die laut eigenen Angaben auch einige dieser Lecks aufgespürt haben. “Diese Anwendungen speichern und verarbeiten wertvollste Unternehmens-Daten wie HR-Informationen, Finanzdaten, Listen von Lieferanten und Kunden und andere. Im Falle eines erfolgreichen Angriffs, kann eine Person mit unlauteren Absichten, Daten über Material-Mengen oder Preise für Produkte manipulieren, Gelder umleiten und Finanz-Reports verändern, nur um einige Beispiele zu nennen.”

Die weitere Analyse von ERPScan zeigt aber auch, dass die insgesamt 78 Lecks in 76 Fällen mit moderatem Risiko sowie zwei Lecks mit niedriger Gefährdung eingestuft sind. Der höchste Common Vulnerability Scoring System (CVSS)-Score in EBS liegt bei 6,4.

Im Januar CPU werden insgesamt 5 Lecks mit der maximalen Risiko-Bewertung 10.0 eingestuft. Die meisten davon betreffen Oracle Java SE. Daher sollten Anwender diese an erster Stelle beheben, rät Oracle.

Verteilung der Lecks auf die Produkte beim Januar-CPU 2016. Die Enterprise Business Suite verbucht fast ein Drittel aller Patches auf sich. (Bild: ERPScan)
Verteilung der Lecks auf die Produkte beim Januar-CPU 2016. Die Enterprise Business Suite verbucht fast ein Drittel aller Patches auf sich. (Bild: ERPScan)

Die Lecks CVE-2016-0494 und CVE-2015-8126 etwa betreffen Java SE und Java SE Embedded in verschiedenen Versionen und erlaubt einfach auszunutzende Netzwerk-Attacken über verschiedene Protokolle. Ein Angreifer kann die Kontrolle über ein Client-System übernehmen und beliebigen Code ausführen. Ein weiteres hochkritisches Leck CVE-2016-0483 in Java SE und JRockit. CVE-2016-0451 und CVE-2016-0452 betreffen Oracle GoldenGate. Auch in diesen Fällen kann ein Angreifer das System übernehmen und beliebigen Code ausführen.

Neben der Oracle E-Business Suite schließt Oracle auch im Oracle Enterprise Manager Grid Control, Oracle Fusion Middleware, Oracle Sun Systems Products Suite, Oracle MySQL, Oracle PeopleSoft, Oracle Virtualization, Oracle Retail Applications, Oracle Java SE, Oracle JD Edwards, Oracle Database Server, Oracle Communications Applications, Oracle Supply Chain Products Suite, Oracle GoldenGate, und Oracle iLearning Lecks.

In einem Blog rät Oracle, dass Nutzer schnell die Betreffenden Patches aufspielen. Der Hersteller betont auch, dass sich keines der Lecks in Oracle-Datenbank-Produkten derzeit remote ausnutzen lässt.