Thema: Oracle-Patchday...

[SiLæncer]

Der Datenbankhersteller Oracle hat an seinem Quartals-Patchday namens Critical Patch Update (CPU) im Januar insgesamt 103 Schwachstellen in seinen Produkten beseitigt. In der Sicherheitsmeldung von Oracle sind in so genannten Security Risk Matrixes die einzelnen behobenen Fehler aufgelistet.

Demnach schloß das Unternehmen insgesamt 37 Lücken im Datenbankserver, 17 im Anwendungsserver, 20 in der Collaboration Suite sowie 27 in der E-Business-Suite und den zugehörigen Anwendungen. Im Enterprise-Server wurden keine Sicherheitslecks abgedichtet, jedoch in Peoplesofts Enterprise sowie JD Edwards EnterpriseOne jeweils eines.

Acht der beseitigten Fehler gehen auf Meldungen von Alexander Kornbrust von Red Database Security zurück, der zu den Lücken detailliertere Advisories zur Verfügung stellt. Drei Lücken wurden laut den Advisories bereits im August 2003 an Oracle gemeldet – damit stehen aber noch immer drei der damals gemeldete Lücken offen.

Die Schwachstellen lassen sich zum Teil aus dem Netz heraus ausnutzen. Daher empfiehlt Oracle den Anwendern dieser Produkte, die angebotenen Updates zu installieren.

Siehe dazu auch:

    * Oracle Critical Patch Update - January 2006

Quelle und Links : http://www.heise.de/security/news/meldung/68466

[SiLæncer]

Oracle hat anlässlich seines Quartalspatchdays insgesamt 88 sicherheitsrelevante Updates herausgegeben; das sind 10 mehr als beim letzten Mal. Ein Update für die Java-VM JRockit schließt dabei sogar eine oder mehrere Lücken mit dem höchstmöglichen Schweregrad (CVSS) von 10.0, Lücken mit einem CVSS von 9.0 wurden in der Grid Engine und der Windows-Ausgabe der Database-Komponente Spatial geschlossen. Alle weiteren Schwachstellen haben einen CVSS von 7.5 oder darunter.

Insgesamt betreffen 6 Updates direkt den Oracle Database Server, 6 weitere im Enterprise Manager Grid Control, von denen sich vier aus der Ferne ohne Authentifizierung ausnutzen lassen, können ihn indirekt betreffen. 11 der Patches betreffen die Oracle Fusion Middleware, einige davon schließen Lücken in der Java-Laufzeitumgebung, die auch JRockit betreffen. Zudem wurden unter anderem 17 Updates für Oracle Flexcubes,15 für PeopleSoft Enterprise und 6 für Oracle MySQL veröffentlicht. Auch Solaris hat das Unternehmen nachgebessert. Eine vollständige Übersicht findet man in dem Advisory.

Die Details zu dem Lücken hält Oracle zumeist unter Verschluss, um seine Kunden nicht unnötig in Gefahr zu bringen. Bei einem Update des Datenbankservers MySQL im März ist das dem Unternehmen allerdings nicht wie geplant geglückt: Es hat wie The H berichtet versehentlich einen Proof-of-Concept-Exploit mit veröffentlicht, mit dem man MySQL lahmlegen konnte (Denial of Service). Die Einsatzmöglichkeiten sind jedoch beschränkt: Um den Exploit anzuwenden, benötigt man Zugangsdaten zum Server mit ausreichenden Rechten.

Quelle : www.heise.de

[SiLæncer]

Am 12. Juni will Oracle die vierteljährliche Patch-Sammlung für JavaSE veröffentlichen, schrieb das Unternehmen jetzt in einer Ankündigung. Es handele sich um 14 Korrekturen für verschiedene Sicherheitslücken. Betroffen seien die Java-Versionen 7 (Update 4 und früher), 6 (Update 32 und früher), 5 (Update 35 und früher) und1.42_37 und früher sowie JavaFX bis Version 2.1.

Ein Dutzend der 14 Lücken ermöglichen Angriffe über das Netz ohne vorherige Authentifizierung, also ohne Angabe von Benutzernamen und Passwort. Oracle empfiehlt allen Kunden, die Patches so schnell wie möglich einzuspielen.

Quelle : www.heise.de

[ritschibie]

Auf der jüngsten Blackhat-Konferenz in Las Vegas hatte der Sicherheitsexperte David Litchfield einen Zero-Day-Exploit in Oracles Datenbankserver vorgestellt. Oracle schloss diese Lücke nun mit einem Patch außer der Reihe. Betroffen sind die Server-Versionen 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.2 und 11.2.0.3. Für die beiden letztgenannten enthielt bereits das Patch-Update von Juli 2012 eine Korrektur.

Der Fehler erlaubt es, Angreifern die Privilegien des SYSDBA-Benutzers zu erlangen. Sie benötigen dafür sowohl Benutzernamen und Passwort als auch die Privilegien CREATE TABLE, CREATE PROCEDURE und EXECUTE für das Paket DBMS_STATS. Außerdem muss das Paket Oracle Text installiert sein, was in der Regel der Fall ist.

Oracle empfiehlt, den bereitgestellten Patch so schnell wie möglich einzuspielen, da bereits Exploits für die Lücke öffentlich verfügbar seien. Der Bug könne zwar auch in älteren, nicht mehr unterstützten Versionen existieren, für diese werde es jedoch keinen Fix geben.

Oracle beschreibt den als CVE-2012-3132 katalogisierten Fehler nur sehr allgemein. Etwas mehr Details finden sich in einem Blog-Eintrag von Alex Rothacker von Team Shatter. Er weist zunächst darauf hin, dass normale Datenbanknutzer die erwähnten Privilegien nicht haben sollten, Entwickler sie jedoch in der Regel besitzen.

Rothacker empfiehlt, die Privilegien CREATE TABLE und CREATE PROCEDURE sowie EXECUTE für DBMS_STATS und CTXSYS.CTX_DDL nur denjenigen Anwendern zu geben, die sie wirklich benötigen. Außerdem sollten alle Aufrufe von CREATE INDEX mit dem INDEXTYPE CTXSYS.CONTEXT und Aufrufen von DBMS_STATS.GATHER_TABLE_STATS überwacht werden. Indizes für eine Spalte, deren Name '|| oder ||' enthält, wiesen auf auf einen möglichen Angriff hin.

Dieser Indextyp dient in Oracles Text-Paket seit Version 9i zum Indizieren großer Dokumente, die auch in Binärformaten wie PDF und DOC vorliegen können. Die Routine GATHER_TABLE_STATS im Paket DBMS_STATS liefert Informationen über eine Tabelle und ihre Indizes.

Quelle: www.heise.de

[SiLæncer]

Oracles Oktober-Patchday (Critical Patch Update, CPU) hat es in sich: Der Software-Hersteller schließt fast 140 Schwachstellen in etlichen Produkten. Allein in Java hat das Unternehmen insgesamt 30 Lücken abgedichtet, durch 29 davon ist das Worst-Case-Szenario möglich: das Einschleusen von Schadcode aus der Ferne, etwa durch verseuchte Webseiten. Ebenfalls abgesichert wurden Oracle Database, die Fusion-Middleware, MySQL, Solaris, VirtualBox und viele weitere.

Die Java-Lücken betreffen die Versionen alle Versionszweige ab 5.0, 1.4.2_38 (und früher) sowie die dazugehörigen Entwicklerkits. Auch das JavaFX-Framework wurde abgedichtet. Die Entdeckung der meisten Schwachstellen in Java geht auf das Konto des polnischen Sicherheitsforschers Adam Gowdiak, der im Rahmen seines Projekts SE-2012-01 im Laufe des Jahres bereits zahlreiche kritische Lücken aufgespürt und vertraulich an Oracle gemeldet hat.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Wie angekündigt, hat Oracle am gestrigen Dienstag sein erstes Critical Patch Update 2013 veröffentlicht. Die Sammlung enthält 86 Korrekturen für Sicherheitslücken, von denen die gravierendsten den Höchstwert 10 des Common Vulnerability Scoring System (CVSS) erreichen.

Diese beiden Lücken (CVE-2013-0361, CVE-2013-0366) finden sich in Oracle Mobile Server, der früher Oracle Lite 10g hieß. Sie ermöglichen es einem nicht authentifizierten Angreifer über das Netz volle Kontrolle über das System zu erlangen. Drei weitere Schwachstellen (CVE-2013-0362, CVE-2013-0363, CVE-2013-0364) eröffnen ohne Anmeldung Remote-Zugriff auf die Daten des Servers. Betroffen sind die Mobile-Server-Versionen 10 und 11.

Der ganze Artikel

Quelle : www.heise.de

[ritschibie]

Oracle liefert mit dem jetzt veröffentlichten Critical Patch Update, dem letzten für 2013, erstmals Korrekturen für alle seine Software-Produkte auf einen Rutsch aus. Insgesamt werden damit 126 Lücken geschlossen, davon macht Java SE mit 51 den Löwenanteil aus. Auf dem zweiten Platz folgt die Middleware Fusion mit 17 Fehlern. In MySQL behebt Oracle acht, im Datenbankserver vier Bugs.

Der ganze Artikel

Quelle: www.heise.de