308 Lecks – Oracle veröffentlicht Rekord-Patch

ERP-SuitesSoftware

Es ist Oracles bisher größter Patchtag. 27 Lecks werden als “kritisch” eingestuft oder erreichen sogar die höchstmögliche Gefährdungsstufe. Der Trend, dass immer mehr Lücken in Unternehmenssoftware gefunden werden, setzt sich damit fort.

Mit dem vierteljährlich angelegten Patchtag schließt Oracle im Juli insgesamt 308 Schwachstellen. Damit setzt sich der Trend fort, dass die Zahl der entdeckten Lecks umfangreicher wird. Zum vergangen Patchtag im April veröffentlichte Oracle 300 Patches. Ein Leck erreicht jetzt auf der CVSS-Base-Score sogar den Maximalwert von 10.0. Darüber hinaus werden 26 weitere Lecks als kritisch eingestuft.

Damit ist der aktuelle Patchtag der bislang umfangreichste. Die hohe Zahl bedeutet, dass täglich im Schnitt drei Sicherheitslücken entdeckt werden. Der ERP-Sicherheits-Anbieter ERPScan hat für den Trend der steigenden Zahl von Sicherheitsfixes eine mögliche Erklärung bereit. “Wir vermuten, dass die Sicherheitsforscher ihren Ansatz etwas geändert haben und sich jetzt auf Business-Software konzentrieren, was sich dann in immer neuen Rekorden bei den Patchtes für eine bestimmte Komponente widerspiegelt.”

Die Zahl der Patches für Oracle-Produkte steigt weiter an. (Bild: Onapsis)
Die Zahl der Patches für Oracle-Produkte steigt weiter an. (Bild: Onapsis)

Auch wenn es zunächst so scheint, als würden die Produkte unsicherer, sei das Gegenteil der Fall. Durch die hohe Zahl an geschlossenen Bugs steige das Sicherheitsniveau. Für die Anwender bedeutet das aber auf jeden Fall eine Menge Arbeit.

Mit 48 Lecks führ Oracle Hospitality, die Branchenlösung für das Gast- und Hotelgewerbe, das Feld an. In Fusion Middleware sind es 44, bei Java SE 32 und in Peoplesoft und MySQL jeweils 30 Patches. Die E-Business Suite weist 22, die Financial Services Applications 20 Lecks auf. Oracle Virtualization bekommt 14 Patches und die Communications Applications sowie Sun Systems jeweils 11.

Die Supply-Chain-Lösung von Oracle weist insgesamt 10 sicherheitsrelevante Fehler auf. Des weiteren sind die Primavera Products Suite, Oracle Enterprise Manager Grid Control, Retail Applications und der Database Server mit mehreren Fehler behaftet.

Ausgewähltes Whitepaper

Digitalisierung des Vertragsmanagements

Verträge und vor allem Vertragsinhalte sind wesentliche Faktoren für den Erfolg oder Misserfolg eines Unternehmens. Dieses Whitepaper behandelt die Aspekte, die für eine Digitalisierung der Vertragsverwaltung sowie damit verbundener Prozesse sprechen und erläutert die Vorteile.

Insgesamt werden mit diesem Dienstag im Juli 82 Patches für kritische Unternehmenslösungen ausgespielt, darunter Siebel CRM, PeopleSoft und die E-Business Suite. Etwa die Hälfte davon kann remote ohne Authentifizierung ausgenutzt werden. Vor allem Anwender von PeopleSoft, einer Lösung, die Supplier Relationship Management, Human Capital Management, Supply Chain Management sowie weitere Komponenten umfasst, sollten alarmiert sein.

Im gesamten vergangenen Jahr wurden für diese Lösung insgesamt nur 44 Patches veröffentlicht. Nun sind es in einem Rutsch 30. Wobei der höchste CVSS-Base-Score hier bei 8.3 liegt. Das Leck CVE-2017-10061 lässt sich ebenfalls Remote ohne Anmeldung ausnutzen, um damit Dateien in das System zu laden.

Immerhin 20 dieser Lecks lassen sich über das Netzwerk ohne Authentifizierung ausnutzen. Das betrifft etwa 1000 Installationen, die eine Schnittstelle zum Internet haben. Weltweit sollen mehr als 6000 Unternehmen die Lösung nutzen, darunter auch zahlreiche Universitäten.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Nachdem immer mehr Forscher Sicherheitsprobleme von ERP-Anwendungen ausfindig machen, wird auch die Zahl der Angriffe auf diese lohnende Ziele weiter zunehmen. “Eine Studie von Crowd Research Partners, ergab, dass 89 Prozent der Verantwortlichen davon ausgehen, dass die Zahl von Angriffen auf ERP-Systeme deutlich steigen wird. Die Kosten für eine Attacke auf SAP können sich schnell auf 50 Millionen Dollar summieren und Peoplesoft spielt hier definitiv in der gleichen Liga”, so Alexander Polyakov, CTO bei ERPScan.

Allerdings liegt der Fehler CVE-2017-10137 mit der CVSS Base Score von 10.0 im Oracle WebLogic Server, einer Komponente der Oracle Fusion Middleware. Über das Netzwerk kann ein Angreifer über HTTP den WebLogic-Server angreifen und damit viele weitere Komponenten beeinträchtigen. Der Angreifer kann auf diese Weise auch die vollständige Kontrolle über den WebLogic-Server übernehmen. Betroffene Versionen sind 10.3.6.0 und 12.1.3.0.

Mit 9.9 ist das Leck CVE-2017-10202 in OJVM, einer Komponente des Oracle Database Server bewertet. Das einfach auszunutzende Leck erlaubt es mit den Rechten Create Session und Create Procedure über mehrere Protokolle hinweg auf OJVM zuzugreifen, das ebenfalls viele weitere Komponenten betreffen kann. Angreifer können OJVM übernehmen.

Die Elastic Charging Engine (Apache Groovy) erreicht mit CVE-2015-3253 einen Score von 9.8. Über die Engine kann die Komponente Oracle Communications BRM innerhalb der Communications Applications kompromittiet und übernommen werden.

Die 10 kritischen Lecks in Java SE dürften wohl die meisten Nutzer betreffen. Vor Oracle heißt es weiter, dass etwa 28 der 32 Java Lecks “möglicherweise remote und ohne Authentifizierung” ausgenutzt werden könneten.

Umfrage

Automatisierung: Wie weit sind Sie mit Ihrem Unternehmen?

Ergebnisse

Loading ... Loading ...
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen