Neues von heise.de
21.01.2015 16:54
Oracle stopft kritische Lücken in Java und in seiner E-Business Suite
Also patchen / updaten so schnell als möglich!
Zum vollständigen Artikel
21.01.2015 16:54
Oracle stopft kritische Lücken in Java und in seiner E-Business Suite
Mit seinem ersten Critical Patch Update für dieses Jahr schließt Oracle 169 Sicherheitslücken in fast allen seinen Produkten.
Besonders kritische Lücken betreffen Java und die Oracle E-Business Suite.
Oracle hat im Rahmen seines ersten Critical Patch Update (CPU) für 2015 insgesamt 169 Sicherheitslücken geschlossen, die sich über fast die komplette Produktpalette der Firma erstrecken.
Fünf der Lücken sind mit der höchsten Gefahreneinstufung 10.0 nach dem Common Vulnerability Scoring System (CVSS) versehen;
vier dieser Lücken befinden sich in Java.
Auf Grund der Gefahr, die von vielen der Lücken ausgeht, empfiehlt Oracle die Updates so schnell wie möglich zu installieren.
Besonders kritische Lücken betreffen Java und die Oracle E-Business Suite.
Oracle hat im Rahmen seines ersten Critical Patch Update (CPU) für 2015 insgesamt 169 Sicherheitslücken geschlossen, die sich über fast die komplette Produktpalette der Firma erstrecken.
Fünf der Lücken sind mit der höchsten Gefahreneinstufung 10.0 nach dem Common Vulnerability Scoring System (CVSS) versehen;
vier dieser Lücken befinden sich in Java.
Auf Grund der Gefahr, die von vielen der Lücken ausgeht, empfiehlt Oracle die Updates so schnell wie möglich zu installieren.
Java laut Oracle so sicher wie schon lange nicht mehr
Die Programmiersprache Java, die laut einem aktuellen Bericht von Cisco gerade sicherer wird, erhält mit dem Update immerhin nur 19 Patches.
Von diesen 19 Lücken betreffen 15 Client-Installationen von Java – viele davon erlauben das Ausführen von beliebigem Schadcode aus dem Netz.
Oracle klopft sich selber auf die Schulter und gibt zu Protokoll, dass die "historisch niedrige Zahl" an Java-Lücken in diesem CPU
direkt mit einer verbesserten Herangehensweise der Firma an Java-Sicherheitslücken in Verbindung stehe.
Trotzdem sollten Nutzer auch die Java-Updates zügig einspielen, da die Programmiersprache nach wie vor eine beliebte Grundlage für Angriffe darstellt.
Zusätzlich hat Oracle bekannt gegeben, dass dieses Update die Verwendung von SSL mit Java standardmäßig verhindert – Kunden sollten stattdessen auf TLS umsteigen.
Oracle reagiert damit nach eigenen Angaben vor allem auf die Poodle-Lücke, die Schwachstellen im veralteten SSLv3-Protokoll ausnutzt.
Die Programmiersprache Java, die laut einem aktuellen Bericht von Cisco gerade sicherer wird, erhält mit dem Update immerhin nur 19 Patches.
Von diesen 19 Lücken betreffen 15 Client-Installationen von Java – viele davon erlauben das Ausführen von beliebigem Schadcode aus dem Netz.
Oracle klopft sich selber auf die Schulter und gibt zu Protokoll, dass die "historisch niedrige Zahl" an Java-Lücken in diesem CPU
direkt mit einer verbesserten Herangehensweise der Firma an Java-Sicherheitslücken in Verbindung stehe.
Trotzdem sollten Nutzer auch die Java-Updates zügig einspielen, da die Programmiersprache nach wie vor eine beliebte Grundlage für Angriffe darstellt.
Zusätzlich hat Oracle bekannt gegeben, dass dieses Update die Verwendung von SSL mit Java standardmäßig verhindert – Kunden sollten stattdessen auf TLS umsteigen.
Oracle reagiert damit nach eigenen Angaben vor allem auf die Poodle-Lücke, die Schwachstellen im veralteten SSLv3-Protokoll ausnutzt.
Zum vollständigen Artikel