Oracle stellt Spectre-Update für SPARC in Aussicht und veröffentlicht 237 Patches

Cloud

Einen Zeitrahmen für das Update nennt Oracle nicht. Auch die Intel-basierten Syteme werden mit Patches versorgt werden. Software-Seitig muss Oracle einige hochkritische Lecks schließen.

Oracle veröffentlicht im Januar insgesamt 237 Sicherheitsupdate für verschiedene Produkte. Nachdem Oracle sich lange nicht zu dem Intel-Prozessor-Bugs Meltdown und Spectre geäußert hatte, bestätigt Oracle auch für diese Lecks Sicherheitsupdates, allerdings ohne dafür einen Zeitrahmen zu nennen.

Mit dem integrierten System SPARK Minicluster S7-2 will Oracle auch den Midrange-Markt adressieren. Zahlreiche Automatisierungen etwa für Sicherheit, Compliance oder Patching vereinfachen die Administration der Lösung. (Bild: Oracle)
Mit dem integrierten System SPARK Minicluster S7-2 will Oracle auch den Midrange-Markt adressieren. Zahlreiche Automatisierungen etwa für Sicherheit, Compliance oder Patching vereinfachen die Administration der Lösung. (Bild: Oracle)

Der britische Branchendienst The Register berichtet unter Berufung auf ein nicht öffentliches Support-Dokument, dass auch eine Version von Oracle Solaris auf der eigenen Prozessor-Architektur SPARCv9 von Spectre betroffen ist und Oracle derzeit an einem Patch arbeitet. Oracle ist damit nicht alleine. Auch die IBM-Prozessoren der Power-Familie sind von dem Fehler betroffen so wie andere Architekturen.

Oracle veröffentlicht in dem Januar-Update auch Fixes, die Meltdown und Spectre in den x86-basierten Systemen des Herstellers beheben. So werden Oracle OS und Oracle VM für CVE-2017-5715 mit einem aktualisierten Intel Microcode versorgt werden. Allerdings nennt Oracle noch keinen Zeitrahmen. Damit macht Oracle auch deutlich, dass der Hersteller selbst die Updates, die derzeit von Intel bereitgestellt werden, zusätzlich anpasst. Die Intel-Updates sorgen vor allem in Rechenzentren für signifikante Performance-Einbußen und gerade Oracle-Anwender setzen diese Produkte meist in hochverfügbaren, kritischen Umgebungen ein.

Ausgewähltes Whitepaper

EMM – ein nützliches Werkzeug zur Einhaltung der DSGVO

Am 25. Mai 2018 tritt die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. In diesem Dokument finden Unternehmen Rahmenbedingungen, mit denen sie ihre Richtlinien für mobilen Datenschutz und mobile Sicherheit sowie die Durchsetzungskonzepte bewerten können.

Um die Bedenken der Anwender zu zerstreuen, erklärt Oracle, dass die Spectre-Patches vor der Veröffentlichung einer eingehenden Prüfung unterzogen werden. Oracle rät den Anwender auch, vor dem Einspielen der Patches zunächst andere Sicherheitsmaßnahmen zu ergreifen und zum Beispiel die Zahl der privilegierten Nutzer auf den Systemen zu begrenzen.

Wie auch andere Cloud-Provider auch scheint auch Oracle mit Performance-Problemen bei dem Public Cloud Service zu kämpfen, wie aus einigen Nutzerforen hervorgeht.

Doch Oracles umfangreiche Produktpalette leidet nicht nur an Meltdown und Spectre. Verschiedene Anwendungen weisen ebenfalls Verwundbarkeiten auf, darunter befinden sich auch viele kritische Lecks. Der höchste CVSS-3.0-Base-Score in den unternehmenskritischen Anwendungen ist 9,8 von maximal 10. Diesen Wert erreichen Lecks in Fusion Middleware, People Soft und in verschiedenen Retail-Anwendungen. Ein Leck in dem Sun ZFS Storage Appliance Kit erreicht sogar den Maximalwert. Auch der Oracle WebLogic Server und die Oracle Retail Convenience and Fuel POS Software leiden an Lecks, die mit einem Basescore von 10.0 bewertet sind.

Die Anwendung mit den meisten Lecks sind Oracle Financial Services, wo der Hersteller insgesamt 34 Lecks beheben muss. 13 dieser Lecks lassen sich über das Netzwerk ohne die Eingabe einer Nutzerkennung ausnutzen. In Fusion Middleware behebt Oracle 27 Lecks und in MySQL sind es 25 Verwundbarkeiten, wie der Spezialist für Unternehmensanwendungen ERPScan in einem Blog festhält. Für Java SE veröffentlicht Oracle insgesamt 21 Patches. 99 behobene Sicherheitslecks für Business-Anwendungen lassen sich Remote ohne Nutzerkennung ausnutzen. Daher rät Oracle dringend, die veröffentlichten Patches aufzuspielen.

Tipp: Wie gut kennen Sie Hightech-Firmen, die an der Börse notiert sind? Testen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen