Oracle Critical Patch Update für Jänner 2012

18. Jänner 2012

Es wurden Updates für kritische Sicherheitslücken in diversen Produkten von Oracle, darunter unter anderen Oracle Database, Oracle MySQL Server, Solaris, Oracle Fusion Middleware und Oracle Application Server veröffentlicht.

Angesichts der hohen Verbreitung der Software von Oracle bittet CERT.at um Beachtung der folgenden Hinweise:

Beschreibung

Im Rahmen eines "Critical Patch Update" warnt Oracle vor diversen, zum Teil schweren (CVSS Score bis zu 7.8) Sicherheitslücken in Software von Oracle.

Eine Sicherheitslücke im Produkt Oracle Database betrifft die Teilkomponente "listener program", welche remote Befehle akzeptiert. Das Ausnutzen der Sicherheitslücken kann im schlimmsten Fall dazu führen, dass ein Zugriff auf die Datenbank nicht mehr möglich ist.

Oracle stellt Patches für Solaris zur Verfügung, welche kritische Sicherheitslücken im Betriebssystem beseitigen. CVE-2012-0094 betrifft Solaris 9, 10, 11 Express und kann zu einem Absturz des Betriebssystems führen.

Andere Patches adressieren Sicherheitslücken in der MySQL Server Software, wobei das Ausnutzen zumindest einer Sicherheitslücke zu einer signifikanten Einschränkung der Verfügbarkeit führen bzw. die Vertraulichkeit der Daten in der Datenbank beeinträchtigen kann.

Weiters warnt Oracle vor diversen HTTP-basierten Sicherheitslücken in den Produkten Oracle Fusion Middleware, Oracle E-Business Suite, and Oracle Supply Chain Products Suite. Eine Sicherheitslücke in Oracle Fusion kann unter Umständen dazu führen, dass Daten vom System gelesen oder auf das System geschrieben werden können.

Eine Auflistung aller Sicherheitslücken und die dazugehörende detaillierte Beschreibung (inklusive CVE und Einstufungen nach CVSS) veröffentlichte Oracle als "Oracle Critical Patch Update Advisory - January 2012".

Auswirkungen

Unter Umständen kann das Ausnutzen der Sicherheitslücken zu einem Teil- bzw. Gesamtverlust der Vertraulichkeit, Integrität oder Verfügbarkeit der Softwareprodukte führen.

Betroffene Systeme

Laut Oracle sind folgende Versionen betroffen:
  • Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3
  • Oracle Database 11g Release 1, version 11.1.0.7
  • Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5
  • Oracle Database 10g Release 1, version 10.1.0.5
  • Oracle Fusion Middleware 11g Release 1, versions 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0
  • Oracle Application Server 10g Release 3, version 10.1.3.5.0
  • Oracle Outside In Technology, versions 8.3.5, 8.3.7
  • Oracle WebLogic Server, versions 9.2.4, 10.0.2, 11gR1 (10.3.3, 10.3.4, 10.3.5)
  • Oracle E-Business Suite Release 12, versions 12.1.2, 12.1.3
  • Oracle E-Business Suite Release 11i, version 11.5.10.2
  • Oracle Transportation Management, versions 5.5, 6.0, 6.1, 6.2
  • Oracle PeopleSoft Enterprise CRM, version 8.9
  • Oracle PeopleSoft Enterprise HCM, versions 8.9, 9.0, 9.1
  • Oracle PeopleSoft Enterprise PeopleTools, version 8.52
  • Oracle JDEdwards, version 8.98
  • Oracle Sun Product Suite
  • Oracle VM VirtualBox, version 4.1
  • Oracle Virtual Desktop Infrastructure, version 3.2
  • Oracle MySQL Server, versions 5.0, 5.1, 5.5

Abhilfe

Installation der bereitgestellten Updates. Siehe dazu die Links im Advisory von Oracle.

Hinweise

Oracle hat sich mit dem Critical Patch Updates Programm vorgenommen, jedes Quartal gebündelt Patches für (fast) alle Produkte herauszugeben. Wir empfehlen daher dringend jedem Kunden von Oracle, sich -- analog zum monatlichen Patch-Day von Microsoft -- auf diese Updates vorzubereiten und einen Prozess zur geordneten Behandlung zu implementieren.

Wir weisen weiters darauf hin, dass die Java Runtime für Clients unabhängig von diesen "CPUs" Updates von Oracle bekommt. Ein veraltetes Java-Plugin in Browsern ist aktuell ein häufiges Einfallstor für Schadsoftware. Ob ein Browser die aktuelle Version verwendet, lässt sich leicht über java.com überprüfen. Alte Versionen der JRE sollten deinstalliert werden.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates anzeigen zu lassen.

Informationsquelle(n):

Oracle Critical Patch Update Advisory - January 2012 (Englisch)
http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html
Orcale Blog zum Patch Update (Englisch)
http://blogs.oracle.com/security/entry/january_2012_critical_patch_update
ars technica (Englisch)
Oracle drops a pile of critical patches in 78-update release