PC-Ecke > # Security Center
Oracle Patchday ...
SiLæncer:
Von den insgesamt 89 Sicherheitslücken, die Oracle im April im Rahmen seines vierteljährlichen Critical Patch Update beheben wollte, waren zwei anschließend immer noch vorhanden. Das hat der Sicherheitsexperte David Litchfield herausgefunden und in einem Advisory veröffentlicht.
In einem Fall lag der Fehler in einem Java-Paket, wobei das April-Update versäumte, die aktualisierte Version zu laden. Der Administrator kann dies aber von Hand nachholen; betroffen sind alle Plattformen. Ein weiteres Problem betrifft Windows (32- und 64-Bit-Version): Hier kann ein Angreifer durch das Paket CTXSYS.DRILOAD Administratorprivilegien erlangen und so beliebige SQL-Befehle ausführen. Das April-Update enthielt zwar ein aktualisiertes SQL-Skript, kopierte es aber ins falsche Verzeichnis. Laut Litchfield hat Oracle eine Lösung hierfür in seinem Support-Portal veröffentlicht.
Quelle und Links : http://www.heise.de/newsticker/meldung/61558
SiLæncer:
Insgesamt 47 Sicherheitslücken führt Oracle in seinem vierteljährlichen "Critical Patch Update" für Juli auf. Die Patches betreffen die Datenbank (12), den Application Server (12), die Collaboration Suite (6), die E-Business Suite (17) und den Enterprise Manager (2). Einige der Lücken sind kritisch und lassen sich auch übers Netz ausnutzen. Zu vier der Updates haben die Entdecker von Red-Database-Security bereits eigene Advisories veröffentlicht, die nähere Details zu den Schwachstellen liefern. Red-Database-Security hatte diese Lücken nach eigenen Angaben schon im Februar an Oracle gemeldet.
Bereits letzte Woche hatte Oracle zwei Updates korrigiert, die beim letzten Critical Patch Update im April eine Lücke nicht vollständig geschlossen hatten.
Quelle und Links : http://www.heise.de/newsticker/meldung/61637
SiLæncer:
Nachdem Oracle bereits beim vorletzten der vierteljährlichen Critical Patch Update (CPU) im April nicht alle avisierten Lücken geschlossen hatte, gibt es auch bei den 47 diese Woche veröffentlichten Patches einige Ungereimtheiten.
Es beginnt damit, dass Oracle alle registrierten Nutzer, die die Patches heruntergeladen hatten, per E-Mail aufforderte, diese erneut zu installieren, weil einige davon offenbar am 13. und 14. Juli überarbeitet wurden. Des Weiteren meldet Red-Database-Security, dass die Patches auch einige Fehler beseitigen, die nicht dokumentiert wurden. Und schließlich zitiert Pete Finnigan in seinem Weblog aus einer E-Mail-Konversation den anerkannten Datenbanksicherheitspezialisten Cesar Cerrudo:
Oracle hat es wieder getan! Das Juli-CPU beseitigt einen der Fehler in 9iR2 nicht ..., die Risiko-Matrix ist falsch, da sie als erstes betroffenes Release 10g angibt, 9iR2 aber ebenfalls betroffen ist. ... Also hat Oracle die Anwender von 9iR2 ungeschützt gelassen.
Cerrudo geht sogar so weit, von der Installation der Patches abzuraten, bevor man sie sorgfältigen Tests unterzogen habe: Die Fehler der letzten Monate zeigten, dass Oracle keine ausreichende Qualitätssicherung betreibe. Hier widerspricht jedoch Finnigan, ebenfalls Oracle-Experte und Autor des Buchs "Oracle Security Step By Step -- A survival guide for Oracle security": "Ich sehe Cesars Argument, aber die Patches möglichst früh einzuspielen, ist das kleinere Risiko."
Quellem : www.heise.de
SiLæncer:
Von Database, über Java, bis hin zu MySQL: Oracle dichtet sein Portfolio ab und veröffentlicht wie jedes Quartal jede Menge Updates. Über eine nun geschlossene Lücke soll eine Hacker-Gruppe in das Computersystem des Weißen Hauses eingedrungen sein.
Oracle hat sein viertes Quartals-Sammel-Update veröffentlicht und stopft 154 Sicherheitslücken in vielen Produkten seines Software-Portfolios. Viele Schwachstellen sind als kritisch eingestuft. Eine Lücke sollen Angreifer für erfolgreiche Attacken ausgenutzt haben.
Das Update für Oracle Database soll acht Schwachstellen abdichten. Vier Lücke davon gelten als besonders kritisch und weisen eine CVSS-Einstufung zwischen neun bis zehn auf. Über die Schwachstellen könnten Angreifer Computersysteme aus der Ferne ohne Authentifikation attackieren und im schlimmsten Fall übernehmen, warnt Oracle.
Auch die Oracle Sun Systems Production Suite ist aus dem Internet angreifbar. Die Lücke (CVE-2015-4863) klafft Oracle zufolge im Integrated Lights Out Manager (ILOM) und hat die höchste CVSS-Einstufung von zehn erhalten. Oracle empfiehlt Nutzern das ILOM-Interface vor öffentlichen Zugriffen über das Internet abzusichern und die Anwendung zügig zu aktualisieren.
Der ganze Artikel
Quelle : www.heise.de
SiLæncer:
Die bislang größte Sicherheitsptach-Sammlung von Oracle ist da und fixt Lücken in Database, Java, MySQL und Co. Dieses Mal steht Oracles E-Business Suite im Mittelpunkt.
Mit dem ersten Quartals-Sammel-Update in diesem Jahr stellt Oracle einen eigenen Rekord auf und stellt insgesamt 248 Sicherheitspatches für Produkte seines Software-Portfolios zum Download bereit. Einen Großteil der Schwachstellen sollen Angreifer aus der Ferne ohne Authentifizierung ausnutzen können. Insgesamt gelten aber nur fünf Lücken als kritisch.
Wie gewohnt stellt Oracle eine Liste mit allen betroffenen Anwendungen bereit. Details über die Sicherheitslücken, mögliche Angriffsszenarien und Auswirkungen, etwa Remotecodeausführung, können aber nur registrierte Nutzer einsehen, die Zugang zum Support-Portal haben.
Der ganze Artikel
Quelle : www.heise.de
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln