24.01.2012
Sicherheit
Oracle stopft 78 Sicherheitslücken
Autor: Thorsten Eggeling
Oracle hat zu seinem quartalsmäßigen Patchday zahlreiche teils hoch kritische Sicherheitslücken in seinen Produkten geschlossen, Der Hersteller empfiehlt betroffenen Anwendern eine schnellstmögliche Aktualisierung.
Oracle hat das Critical Patch Update Advisory für Januar 2012 veröffentlicht. Darin beschreibt das Unternehmen 78 teils kritische Sicherheitslücken unter anderem in MySQL, Oracle Database, Fusion Middleware, PeopleSoft, Solaris und VirtualBox.
16 der Lücken lassen sich laut Oracle dazu ausnutzen, um über das Netzwerk Schadcode einzuschleusen. Oracle betont das hohe Gefahrenrisiko und fordert seine Kunden auf, die Updates so schnell wie möglich auf dem Rechner zu installieren.
Mit 27 der Fixes erhält die quelloffene MySQL die meisten Updates. Davon gilt eine Lücke als hoch kritisch. Über sie kann die Datenbank mit DoS-Attacken über das MySQL-Protokoll lahmgelegt werden. Eine weitere Schwachstelle können Angreifer nutzen, um sich über das lokale Netzwerk unautorisierten Zugriff auf Datenbanken zu verschaffen.
Sehr kritisch sieht Oracle eine Sicherheitslücke in der TCP/IP-Komponente des Betriebssystems Solaris, weil sich darüber das Betriebssystem zum Absturz bringen lässt. Zudem wurden in Solaris noch sieben andere Fehler beseitigt. Eine Lücke betrifft den Kernel. Dort sind der ksh93-Shell und der Authentifizierungsdienst Kerberos fehlerhaft.
Als etwas weniger gefährlich werden die zwei Schwachstellen in VirtualBox beurteilt, denn die Fehler lassen sich nur über das lokale Netz ausnutzen. Oracle stellt außerdem drei Updates für die E-Business-Suite bereit, sechs für die Produkte von PeopleSoft und weitere acht für die von JD-Edwards. Oracles Database Server erhält nur zwei Updates, wovon sich eine Lücke über das Netz ausnutzen lässt. Eine befindet sich in der Listener-Anwendung, die Verbindungen bearbeitet. Dadurch können Verbindungen ausgehebelt werden. Im Glassfish Enterprise Server wurden ebenfalls Fehler korrigiert, die ebenfalls Angriffe über das Internet ermöglichen.
Zu dem Produktportfolio zählt nach der Übernahme von Sun Microsystems auch Java. Java folgt allerdings einem eigenen viermonatigen Update-Turnus. Hier sind erst wieder im Februar Updates zu erwarten.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Künstliche Intelligenz
Memary - Langzeitgedächtnis für autonome Agenten
Das Hauptziel ist es, autonomen Agenten die Möglichkeit zu geben, ihr Wissen über einen längeren Zeitraum hinweg zu speichern und abzurufen.
>>
Cloud Infrastructure
Oracle mit neuen KI-Funktionen für Sales, Marketing und Kundenservice
Neue KI-Funktionen in Oracle Cloud CX sollen Marketingspezialisten, Verkäufern und Servicemitarbeitern helfen, die Kundenzufriedenheit zu verbessern, die Produktivität zu steigern und die Geschäftszyklen zu beschleunigen.
>>