Oracles Critical Patch Update Oktober 2011

Überschattet von der gestrigen Aufregung um Duqu veröffentlichte Oracle eine ganze Reihe kritischer Updates (siehe auch „Weiterführende Links“ in der Spalte rechts auf der Seite). Am interessantesten, wenn auch vielleicht mit der geringste Auswirkung, ist das Java-Update SE BEAST. Oracle gibt an, dass insgesamt 57 Schwachstellen in etlichen Produkten aus dem Oracle-Portfolio gestopft wurden, darunter auch Patches für Java und ihr Produkt zur Desktopvirtualisierung, Sun Ray. Das heißeste Thema, über das wir sprechen sollten, ist jedoch das Patch, mit dem die Schwachstelle CVE-2011-3389 oder Sicherheitslöcher in der JSSE geschlossen werden.

In ihrer Präsentation bei der Hackerkonferenz Ekoparty in Argentinien, über die wir im letzten Monat gebloggt haben, stellten die BEAST-Forscher ein neu entwickeltes Exploit vor, mit dem sich SSL/TLS-Sitzungen mit Hilfe einer schon vor fast einem Jahrzehnt beschriebenen Methode knacken lassen. Der Trick ist immer die Implementierung, nicht die Diskussion, so dass diese beeindruckende Arbeit allen wichtigen Entwicklungsunternehmen einen ganzen Haufen Arbeit eingebracht hat. Die Liste dieser Entwickler schließt auch Oracle mit ein, da der für die Demonstration entwickelte Exploit Sicherheitslücken in Java-Code ausnutzte (den Sicherheitsforschern zufolge bestehen die Schwachstellen ebenfalls in Microsoft Silverlight und Javascriptcode, sie hätten das Exploit nur nicht in dieser Form geliefert. Unglücklicherweise ist der BEAST Exploit-Code für Silverlight öffentlich bekannt). Beinahe hatte der Exploit zu einem echten Desaster geführt, als Mozilla in Erwägung zog, die komplette Java Add-On-Nutzung von ihren Browsern zu blockieren: „Derzeit prüfen wir, ob eine generelle Abschaltung von Java in Firefox machbar ist, und werden diesen Blogeintrag entsprechen aktualisieren, sollten wir uns dazu entschieden haben.“ Daher ist es in gewisser Weise überraschend, dass dieses Fix von Oracle mit einem Base Score von 4,3 Punkten nur eine niedrige Risikobewertung innerhalb ihrer Risikomatrix erhielt (auf einer Skala von 1-10, wobei 10 die höchste Risikobewertung darstellt).

Zwischenzeitlich bewertet Oracle sechs verschiedene Java-Patches mit einem Base Score von „10“ in ihrer Risikomatrix, von denen vier dieser Patches mit der höchsten Risikobewertung das kürzlich veröffentlichte Java 7 betreffen. Sie adressieren die Logik in der JRE selbst, AWT, Deserialisierungs- und Scripting-Komponenten in der JRE.

Nach meinen Erfahrungen wird das Oracle Virtualisierungstool „Sun Ray“ bei einer Vielzahl von unternehmenseigenen Cloud-Systemen eingesetzt, so dass Cloud-Administratoren unbedingt darüber Bescheid wissen sollten, dass die Plattform von einem Fix für CVE-2011-3538 betroffen ist, und welche Authentifizierungsfragen sich in diesem Zusammenhang ergeben.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.