Mit den Quartals-Updates im April beseitigt Oracle 390 Schwachstellen in seiner umfangreichen Produktpalette. Dazu gehören neben etlichen Branchenlösungen auch Java, VirtualBox und MySQL.
Der US-amerikanische Software-Hersteller Oracle hält seinen Patch-Day nur alle drei Monate ab. Oracle spricht dabei von „Critical Patch Updates“ (CPU). Aufgrund des umfangreichen Produktportfolios sowie des recht langen Update-Turnus fallen dabei regelmäßig mehrere hundert zu stopfende Lücken an. Beim ersten CPU-Tag des Jahres am 19. Januar waren es 329, beim zweiten CPU-Tag sind es nun 390 Schwachstellen. Etliche der gestopften Lücken sind als kritisch eingestuft. Für die Risikoeinstufung nutzt Oracle den Industriestandard CVSS 3.1 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist. Auch Microsoft gibt seit einiger Zeit einen CVSS-Score an. Die mit Abstand meisten Lücken hat Oracle in seiner E-Business Suite geschlossen. Von den 70 Schwachstellen sind 22 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, zwei davon erreichen den CVSS Score 9.1. Dahinter folgt der bekannte quelloffene Datenbank-Server MySQL, von dessen 49 gestopften Lücken zehn aus der Ferne ausnutzbar sind und eine den sehr hohen CVSS-Score 9.8 erreicht. Die neueste MySQL-Versionen sind 8.0.24 und 5.7.35. Für den Versionszweig 5.6.x gibt es keine Updates mehr. In Fusion Middleware hat Oracle 45 Lücken gestopft. Davon sind 36 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, sechs erreichen den CVSS Score 9.8. Java In Java SE (Standard Edition) hat Oracle nur zwei Sicherheitslücken geschlossen. Beide sindt ohne Benutzeranmeldung übers Netzwerk ausnutzbar (CVSS-Höchstwert 5.9). Die neueste, gerade erst im März 2021 eingeführte Java-Generation 16 erhält mit Version 16.0.1 bereits ihr erstes Update. Java 11 ist eine so genannte LTS-Version (Long Term Support) und wird acht Jahre lang mit Updates versorgt – Java 11.0.11 ist der neueste Stand. ➤ Die neuesten Sicherheits-Updates Für Anwender bleibt weiterhin vorwiegend Java 8 (JRE – Java Runtime Environment) relevant, das für den privaten Einsatz auf unbestimmte Zeit mit kostenlos erhältlichen Sicherheits-Updates versorgt wird. Oracle will das Support-Ende 18 Monate im Voraus ankündigen. Kommerzielle Verwender müssen hingegen seit April 2019 für diese Updates zahlen, werden dafür jedoch bis Ende 2030 versorgt. Die neueste Version ist Java 8 Update 291 (8u291), in der Oracle die beiden oben erwähnten Lücken geschlossen hat. Als Browser-Erweiterung (JRE Plug-in) läuft Java nur noch im Internet Explorer 11 sowie im auf Firefox basierenden Browser Waterfox, der im Gegensatz zu Firefox noch die alte NPAPI-Schnittstelle für Plug-ins mitbringt. Die quelloffene Virtualisierungslösung VirtualBox ist in der neuen Version 6.1.20 erhältlich. Darin hat Oracle 20 Lücken gestopft, von denen eine den CVSS-Score 8.4 erreicht. Die eine oder andere Schwachstelle könnte geeignet sein, um aus der virtuellen Maschine auszubrechen und Code auf dem Host-System auszuführen. Der nächste turnusmäßige Oracle CPU-Tag ist am 20. Juli.
