Oracle Critical Patch Update Juli 2020
Am Dienstag, den 14.07.2020 hat Oracle das aktuelle Sicherheitsupdate veröffentlicht. Mit diesem Update wechselt Oracle auf das Common Vulnerability Scoring System Version 3.1, bisher wurde die Version 3.0 verwendet. Der Hauptunterschied liegt in der Bewertung der Komplexität einer möglichen Attacke. Wenn das Zielsystem für eine erfolgreiche Attacke eine bestimmte Konfiguration aufweisen muss, wurde in Version 3.0 die Komplexität als "Hoch" eingestuft. In Version 3.1 wird angenommen, dass das betroffene System diese notwendige Konfiguration verwendet und die Komplexität wird daher als "Niedrig" bewertet. Die Änderung führt also tendenziell zu höheren Bewertungen von Sicherheitslücken.
Das Update vom Juli adressiert 443 Sicherheitslücken über zahlreiche Produkte und Versionen. Betroffen sind unter anderem die Datenbank, Fusion Middleware und der Enterprise Manager. 223 der geschlossenen Lücken stammen aus Komponenten von Drittherstellern. Innerhalb der Datenbank sind 19 Lücken geschlossen worden. Die höchste Bewertung hat eine Lücke in der MapViewer-Komponente mit einem Score von 8,8. Betroffen davon sind die Versionen 12.2.0.1, 18c und 19c. Diese Komponente wird nicht direkt in der Datenbank installiert sondern die Aktualisierung muss im WebLogic erfolgen. Eine weitere Lücke in der Java-VM wurde mit 8,0 bewertet, hier sind alle Versionen von 11.2.0.4 bis 19c betroffen.
Innerhalb der Fusion Middleware, wozu auch der Weblogic Server gehört, werden 52 Lücken geschlossen, davon sind 48 von entfernten Rechnern ohne Authentifizierung auszunutzen. Der Höchstwert liegt hier bei 9,8. 10 Lücken sind mit diesem Wert eingestuft worden, 4 davon betreffen den WLS Core.
Auch im Enterprise Manager werden 14 Lücken geschlossen, von denen 10 auf entfernten Rechnern ohne Authentifizierung auszunutzen sind. Zwei der Lücken sind mit einem Wert von 9,8 bewertet worden.
In Java SE werden 11 Lücken geschlossen, alle sind ohne Authentifizierung auszunutzen.
Aufgrund des Gefährdungspotenzials empfehlen wir, den aktuellen Sicherheitspatch einzuspielen, wenn die eingesetzte Produktversion betroffen ist. Voraussetzung ist die Freigabe dieses Patches durch den jeweiligen Applikationshersteller.
Insbesondere Systeme, die von außen zugänglich sind, typischerweise Apache/WebLogic Server, sollten auch immer auf dem aktuellen Stand gehalten werden. Uns sind Fälle bekannt, bei denen bekannte Lücken ausgenutzt wurden und mit den kompromittierten Systemen Crypto Mining betrieben wurde.
Für die Robotron-Energiemarkt-Plattform stehen Einspielung und Test des Juli 2020 Updates noch aus. Derzeit ist das Update vom Januar 2020 bzw. Oktober 2019 freigegeben.
Das nächste Security Update ist für den 20. Oktober 2020 geplant.
Weitere Informationen erhalten Sie auch in der Veröffentlichung von Oracle.
Gerne unterstützen wir Sie bei der Planung und Durchführung der Updates!
Kommentare
Keine Kommentare