[Warning] Oracle Critical Patch Update für Jänner 2012
Otmar Lendl
lendl at cert.at
Wed Jan 18 16:39:39 CET 2012
18. Jänner 2011
Es wurden Updates für kritische Sicherheitslücken in diversen Produkten
von Oracle, darunter unter anderen Oracle Database, Oracle MySQL
Server, Solaris, Oracle Fusion Middleware und Oracle Application Server
veröffentlicht.
Angesichts der hohen Verbreitung der Software von Oracle bittet CERT.at
um Beachtung der folgenden Hinweise:
Beschreibung
Im Rahmen eines "Critical Patch Update" warnt Oracle vor diversen, zum
Teil schweren (CVSS Score [1] bis zu 7.8) Sicherheitslücken in Software
von Oracle.
Eine Sicherheitslücke im Produkt Oracle Database betrifft die
Teilkomponente "listener program", welche remote Befehle akzeptiert.
Das Ausnutzen der Sicherheitslücken kann im schlimmsten Fall dazu
führen, dass ein Zugriff auf die Datenbank nicht mehr möglich ist.
Oracle stellt Patches für Solaris zur Verfügung, welche kritische
Sicherheitslücken im Betriebssystem beseitigen. CVE-2012-0094 betrifft
Solaris 9, 10, 11 Express und kann zu einem Absturz des Betriebssystems
führen.
Andere Patches adressieren Sicherheitslücken in der MySQL Server
Software, wobei das Ausnutzen zumindest einer Sicherheitslücke zu einer
signifikanten Einschränkung der Verfügbarkeit führen bzw. die
Vertraulichkeit der Daten in der Datenbank beeinträchtigen kann.
Weiters warnt Oracle vor diversen HTTP-basierten Sicherheitslücken in
den Produkten Oracle Fusion Middleware, Oracle E-Business Suite, and
Oracle Supply Chain Products Suite. Eine Sicherheitslücke in Oracle
Fusion kann unter Umständen dazu führen, dass Daten vom System gelesen
oder auf das System geschrieben werden können.
Eine Auflistung aller Sicherheitslücken und die dazugehörende
detaillierte Beschreibung (inklusive CVE und Einstufungen nach
CVSS) veröffentlichte Oracle als "Oracle Critical Patch Update
Advisory - January 2012" [2].
Auswirkungen
Unter Umständen kann das Ausnutzen der Sicherheitslücken zu einem Teil-
bzw. Gesamtverlust der Vertraulichkeit, Integrität oder Verfügbarkeit
der Softwareprodukte führen.
Betroffene Systeme
Laut Oracle sind folgende Versionen betroffen:
* Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3
* Oracle Database 11g Release 1, version 11.1.0.7
* Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4,
10.2.0.5
* Oracle Database 10g Release 1, version 10.1.0.5
* Oracle Fusion Middleware 11g Release 1, versions 11.1.1.3.0,
11.1.1.4.0, 11.1.1.5.0
* Oracle Application Server 10g Release 3, version 10.1.3.5.0
* Oracle Outside In Technology, versions 8.3.5, 8.3.7
* Oracle WebLogic Server, versions 9.2.4, 10.0.2, 11gR1 (10.3.3,
10.3.4, 10.3.5)
* Oracle E-Business Suite Release 12, versions 12.1.2, 12.1.3
* Oracle E-Business Suite Release 11i, version 11.5.10.2
* Oracle Transportation Management, versions 5.5, 6.0, 6.1, 6.2
* Oracle PeopleSoft Enterprise CRM, version 8.9
* Oracle PeopleSoft Enterprise HCM, versions 8.9, 9.0, 9.1
* Oracle PeopleSoft Enterprise PeopleTools, version 8.52
* Oracle JDEdwards, version 8.98
* Oracle Sun Product Suite
* Oracle VM VirtualBox, version 4.1
* Oracle Virtual Desktop Infrastructure, version 3.2
* Oracle MySQL Server, versions 5.0, 5.1, 5.5
Abhilfe
Installation der bereitgestellten Updates. Siehe dazu die Links im
Advisory von Oracle [2].
Hinweise
Oracle hat sich mit dem Critical Patch Updates Programm [3] vorgenommen,
jedes Quartal gebündelt Patches für (fast) alle Produkte herauszugeben.
Wir empfehlen daher dringend jedem Kunden von Oracle, sich -- analog
zum monatlichen Patch-Day von Microsoft -- auf diese Updates
vorzubereiten und einen Prozess zur geordneten Behandlung [4] zu
implementieren.
Wir weisen weiters darauf hin, dass die Java Runtime für Clients
unabhängig von diesen "CPUs" Updates von Oracle bekommt. Ein veraltetes
Java-Plugin in Browsern ist aktuell ein häufiges Einfallstor für
Schadsoftware. Ob ein Browser die aktuelle Version verwendet, lässt
sich leicht über java.com [5] überprüfen. Alte Versionen der JRE
sollten deinstalliert werden [6].
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, und auch auf Servern sich
automatisch die verfügbaren Updates anzeigen zu lassen.
__________________________________________________________________
Informationsquelle(n):
Oracle Critical Patch Update Advisory - January 2012 (Englisch)
http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.
html
Orcale Blog zum Patch Update (Englisch)
http://blogs.oracle.com/security/entry/january_2012_critical_patch_
update
Links:
1. http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2
2. http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html
3. http://www.oracle.com/technetwork/topics/security/cpufaq-098434.html
4.
http://www.oracle.com/technetwork/topics/security/cpu-whitepaper-129885.pdf
5. https://www.java.com/de/download/installed.jsp
6. https://www.java.com/de/download/faq/remove_olderversions.xml
---
Otmar Lendl / Stefan Lenzhofer
--
// Otmar Lendl <lendl at cert.at>, +43 1 5056416 - 711
// CERT.at -- http://www.cert.at/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 196 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20120118/d8779bc0/attachment.sig>
More information about the Warning
mailing list