Autor Thema: Oracle Patchday ...  (Gelesen 1078 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Oracle Patchday ...
« am: 10 Juli, 2005, 16:07 »
Von den insgesamt 89 Sicherheitslücken, die Oracle im April im Rahmen seines vierteljährlichen Critical Patch Update beheben wollte, waren zwei anschließend immer noch vorhanden. Das hat der Sicherheitsexperte David Litchfield herausgefunden und in einem Advisory veröffentlicht.

In einem Fall lag der Fehler in einem Java-Paket, wobei das April-Update versäumte, die aktualisierte Version zu laden. Der Administrator kann dies aber von Hand nachholen; betroffen sind alle Plattformen. Ein weiteres Problem betrifft Windows (32- und 64-Bit-Version): Hier kann ein Angreifer durch das Paket CTXSYS.DRILOAD Administratorprivilegien erlangen und so beliebige SQL-Befehle ausführen. Das April-Update enthielt zwar ein aktualisiertes SQL-Skript, kopierte es aber ins falsche Verzeichnis. Laut Litchfield hat Oracle eine Lösung hierfür in seinem Support-Portal veröffentlicht.

Quelle und Links : http://www.heise.de/newsticker/meldung/61558

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Oracle patcht: 47 auf einen Streich
« Antwort #1 am: 13 Juli, 2005, 11:46 »
Insgesamt 47 Sicherheitslücken führt Oracle in seinem vierteljährlichen "Critical Patch Update" für Juli auf. Die Patches betreffen die Datenbank (12), den Application Server (12), die Collaboration Suite (6), die E-Business Suite (17) und den Enterprise Manager (2). Einige der Lücken sind kritisch und lassen sich auch übers Netz ausnutzen. Zu vier der Updates haben die Entdecker von Red-Database-Security bereits eigene Advisories veröffentlicht, die nähere Details zu den Schwachstellen liefern. Red-Database-Security hatte diese Lücken nach eigenen Angaben schon im Februar an Oracle gemeldet.

Bereits letzte Woche hatte Oracle zwei Updates korrigiert, die beim letzten Critical Patch Update im April eine Lücke nicht vollständig geschlossen hatten.

Quelle und Links : http://www.heise.de/newsticker/meldung/61637

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Verwirrung um Oracle-Patches
« Antwort #2 am: 15 Juli, 2005, 18:51 »
Nachdem Oracle bereits beim vorletzten der vierteljährlichen Critical Patch Update (CPU) im April nicht alle avisierten Lücken geschlossen hatte, gibt es auch bei den 47 diese Woche veröffentlichten Patches einige Ungereimtheiten.

Es beginnt damit, dass Oracle alle registrierten Nutzer, die die Patches heruntergeladen hatten, per E-Mail aufforderte, diese erneut zu installieren, weil einige davon offenbar am 13. und 14. Juli überarbeitet wurden. Des Weiteren meldet Red-Database-Security, dass die Patches auch einige Fehler beseitigen, die nicht dokumentiert wurden. Und schließlich zitiert Pete Finnigan in seinem Weblog aus einer E-Mail-Konversation den anerkannten Datenbanksicherheitspezialisten Cesar Cerrudo:

Oracle hat es wieder getan! Das Juli-CPU beseitigt einen der Fehler in 9iR2 nicht ..., die Risiko-Matrix ist falsch, da sie als erstes betroffenes Release 10g angibt, 9iR2 aber ebenfalls betroffen ist. ... Also hat Oracle die Anwender von 9iR2 ungeschützt gelassen.

Cerrudo geht sogar so weit, von der Installation der Patches abzuraten, bevor man sie sorgfältigen Tests unterzogen habe: Die Fehler der letzten Monate zeigten, dass Oracle keine ausreichende Qualitätssicherung betreibe. Hier widerspricht jedoch Finnigan, ebenfalls Oracle-Experte und Autor des Buchs "Oracle Security Step By Step -- A survival guide for Oracle security": "Ich sehe Cesars Argument, aber die Patches möglichst früh einzuspielen, ist das kleinere Risiko."

Quellem : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Oracle Critical Patch Update schließt 154 Sicherheitslücken
« Antwort #3 am: 21 Oktober, 2015, 13:37 »
Von Database, über Java, bis hin zu MySQL: Oracle dichtet sein Portfolio ab und veröffentlicht wie jedes Quartal jede Menge Updates. Über eine nun geschlossene Lücke soll eine Hacker-Gruppe in das Computersystem des Weißen Hauses eingedrungen sein.

Oracle hat sein viertes Quartals-Sammel-Update veröffentlicht und stopft 154 Sicherheitslücken in vielen Produkten seines Software-Portfolios. Viele Schwachstellen sind als kritisch eingestuft. Eine Lücke sollen Angreifer für erfolgreiche Attacken ausgenutzt haben.

Das Update für Oracle Database soll acht Schwachstellen abdichten. Vier Lücke davon gelten als besonders kritisch und weisen eine CVSS-Einstufung zwischen neun bis zehn auf. Über die Schwachstellen könnten Angreifer Computersysteme aus der Ferne ohne Authentifikation attackieren und im schlimmsten Fall übernehmen, warnt Oracle.

Auch die Oracle Sun Systems Production Suite ist aus dem Internet angreifbar. Die Lücke (CVE-2015-4863) klafft Oracle zufolge im Integrated Lights Out Manager (ILOM) und hat die höchste CVSS-Einstufung von zehn erhalten. Oracle empfiehlt Nutzern das ILOM-Interface vor öffentlichen Zugriffen über das Internet abzusichern und die Anwendung zügig zu aktualisieren.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Critical Patch Update: Oracle stellt 248 Sicherheitspatches bereit
« Antwort #4 am: 20 Januar, 2016, 13:42 »
Die bislang größte Sicherheitsptach-Sammlung von Oracle ist da und fixt Lücken in Database, Java, MySQL und Co. Dieses Mal steht Oracles E-Business Suite im Mittelpunkt.

Mit dem ersten Quartals-Sammel-Update in diesem Jahr stellt Oracle einen eigenen Rekord auf und stellt insgesamt 248 Sicherheitspatches für Produkte seines Software-Portfolios zum Download bereit. Einen Großteil der Schwachstellen sollen Angreifer aus der Ferne ohne Authentifizierung ausnutzen können. Insgesamt gelten aber nur fünf Lücken als kritisch.

Wie gewohnt stellt Oracle eine Liste mit allen betroffenen Anwendungen bereit. Details über die Sicherheitslücken, mögliche Angriffsszenarien und Auswirkungen, etwa Remotecodeausführung, können aber nur registrierte Nutzer einsehen, die Zugang zum Support-Portal haben.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Jetzt patchen: Kritische Lücke in Java SE
« Antwort #5 am: 24 März, 2016, 10:58 »
Wenn Java SE im Webbrowser auf einem Desktop-Computer läuft, können Angreifer Computer kompromittieren. Ein Sicherheitspatch steht bereit.

Oracles Java SE 7 Update 97 und Version 8 Update 73 und 74 für Linux, OS X, Solaris und Windows sind verwundbar. Davon ist aber ausschließlich Java SE im Webbrowser auf Desktop-Computern betroffen. Standalone-Applikationen und Versionen für Server, die ausnahmslos vertrauenswürdigen Code ausführen, sind nicht betroffen, erläutert Oracle in einer Sicherheits-Warnung.

Entwickler finden die abgesicherte Version auf einer Download-Seite von Oracle. Windows-Nutzer kommen über java.com an das Sicherheits-Update. Alternativ können sie auch die automatische Update-Funktion nutzen. Oracle rät dringend dazu, die betroffenen Java-SE-Versionen abzusichern. Denn die technischen Details für einen erfolgreichen Angriff seien bereits an die Öffentlichkeit gelangt.

Um den Übergriff einzuleiten, müssen Angreifer Opfer auf eine manipulierte Webseite locken. Anschließend können Kriminelle den Computer ausspähen und manipulieren, warnt Oracle. Die Ausnutzung der Lücke sei aus der Ferne und ohne Authentifikation möglich. Die Bedrohungslage stuft Oracle mit dem CVSS Base Score 9.3/10 ein. Diese sehr hohe Einstufung gilt aber nur, wenn das potenzielle Opfer über Admin-Rechte verfügt.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Critical Patch Update: Oracle verteilt 136 Sicherheits-Patches
« Antwort #6 am: 20 April, 2016, 13:13 »
Die zweite Sammlung abgesicherter Versionen von Oracle-Anwendungen für 2016 ist da. Der Hard- und Software-Hersteller stopft unter anderem kritische Lücken in Database Server und MySQL Server.

Oracle macht sein Anwendungs-Portfolio mit dem quartalsweise erscheinenden Critical Patch Update sicherer. Im April liefert Oracle 136 Sicherheits-Patches aus. Nutzer von etwa Database Server, E-Bussiness Suite, Fusion Middleware, Sun Products, Java SE und MySQL rät der Hard- und Software-Hersteller, die abgesicherten Versionen dringend einzuspielen.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
In Software von Oracle klaffen unter anderem kritische Sicherheitslücken. Das Quartalsupdate bringt jede Menge Sicherheitspatches.

Admins, die in Unternehmen Software von Oracle verwalten, sollten die umfangreiche Liste zum Critical Patch Update studieren und die sie betreffenden Sicherheitsupdates zügig installieren. Beispielsweise in Software aus den Bereichen Communications Applications, Database Server und Enterprise Manager Products klaffen kritische Sicherheitslücken.

Diese könnten Angreifer bisweilen mit vergleichsweise wenig Aufwand aus der Ferne ohne Authentifizierung ausnutzen und die Sicherheitslöcher als Sprungbrett in Unternehmensnetzwerke nutzen. Klappt das, könnten Angreifer in einigen Fällen die Kontrolle übernehmen und unter anderem Finanz-, Gesundheits- und Kundendaten leaken oder Malware abladen.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Im Rahmen seines Quartalsupdates ("Critical Patch Update") hat Hersteller Oracle insgesamt 319 Security-Fixes für zahlreiche Produktfamilien veröffentlicht. Viele der dadurch geschlossenen Sicherheitslücken gelten als kritisch. Einige könnten aus der Ferne missbraucht werden, um die Kontrolle über verwundbare Systeme zu übernehmen. Oracle rät seinen Kunden dazu, die im Rahmen des Critical Patch Updates bereitgestellten Fixes unverzüglich anzuwenden.

Details zu betroffenen Produkten, geschlossenen Lücken und verfügbaren Updates sind Oracles Update Advisory zu entnehmen. Bei der Einschätzung des von ihnen ausgehenden Sicherheitsrisikos helfen Oracles Angaben zum CVSS (Common Vulnerability Scoring System): Ein CVSS-v3-Score ab 7.0 bis einschließlich 8.9 kennzeichnet ein "hohes" Sicherheitsrisiko; Werte von 9.0 bis 10.0 gelten als "critical". Die Angabe "Network" in der Tabellenspalte "Attack Vector" des Update Advisory informiert darüber, dass Angriffe "über das Internet", also aus der Ferne, möglich sind.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )