Das Critical Patch Update-Programm

Das vierteljährliche Programm zu wichtigen Patch-Updates (Critical Patch Updates, CPU) ist der Hauptmechanismus für den Backport von Sicherheitskorrekturen für Oracle Produkte. Wichtige Patch-Updates werden zu Terminen veröffentlicht, die ein Jahr im Voraus bekannt gegeben werden. Sie werden auf der Seite Wichtige Patch-Updates und Sicherheitswarnungen veröffentlicht. Die Patches beheben größere Sicherheitslücken und enthalten außerdem Codefixes, die Voraussetzungen für die Sicherheitskorrekturen sind.

Die Sicherheitsupdates für alle Produkte, die Critical Patch Updates erhalten, stehen Kunden mit aktivem Oracle Support unter „My Oracle Support“ zur Verfügung. Über die folgenden Links erhalten Sie weitere Informationen zu den Richtlinien für Sicherheitskorrekturen von Oracle.

Das Security Alerts-Programm

Bei Sicherheitswarnungen handelt es sich um einen Veröffentlichungsmechanismus für die Behebung einer Sicherheitslücke oder einer kleinen Anzahl an Sicherheitslücken. Bis August 2004 wurden Sicherheitswarnungen als hauptsächliche Veröffentlichungsoption für Sicherheitskorrekturen genutzt. Im Januar 2005 begann Oracle, Korrekturen nach einem festen Zeitplan zu veröffentlichen – mit wichtigen Patch-Updates.

Oracle kann im Fall einer einzigartigen oder gefährlichen Bedrohung für unsere Kunden eine Sicherheitswarnung herausgeben. Dabei werden die Kunden per E-Mail-Benachrichtigung via My Oracle Support und das Oracle Technology Network über die Sicherheitswarnung informiert. Die in der Sicherheitswarnung enthaltene Fehlerbehebung wird auch beim nächsten wichtigen Patch-Update enthalten sein.


Kumulative oder One-Off Patches

Soweit möglich, versucht Oracle, wichtige Patch-Updates kumulativ anzubieten, d. h. dass jedes wichtige Patch-Update die Sicherheitskorrekturen aller vorhergehenden wichtigen Patch-Updates enthält. Praktisch heißt das Folgendes: Bei Produkten, für die es kumulative Patches gibt, müssen Sie nur das aktuelle wichtige Patch-Update anwenden, wenn Sie nur diese Produkte nutzen, da es alle erforderlichen Fehlerbehebungen enthält.

Fehlerbehebungen für die anderen Produkte, für die es keine kumulativen Patches gibt, werden als einmalige Patches veröffentlicht. Lesen Sie bei diesen Produkten die früheren Critical Patch Update Advisorys, um alle Patches zu finden, die Sie anwenden müssen.


Ankündigung von Sicherheitskorrekturen

Gemäß seiner Richtlinie kündigt Oracle, soweit möglich, Sicherheitskorrekturen erst an, wenn die Fehlerbehebungen für alle betroffenen und unterstützten Produktversionen und Plattformkombinationen verfügbar sind. Es gibt jedoch zwei Ausnahmen bei dieser Richtlinie:

  1. 1. Anforderungsprogramm: Für bestimmte Produktversionen und Plattformkombinationen, für die in der Vergangenheit nur wenige Patches von Kunden heruntergeladen wurden, stellt Oracle nicht systematisch Patches her. Die Entwicklung solcher Patches muss von Kunden angefordert werden. Das Anforderungsprogramm und das Verfahren zur Anforderung solcher Patches für neuere oder zukünftige wichtige Patch-Updates sind im Dokument zur Patch-Verfügbarkeit beschrieben, das mit jedem wichtigen Patch-Update herausgegeben wird.
  2. 2. Geringe Verzögerungen bei der Patch-Verfügbarkeit von bis zu zwei Wochen ab Ankündigungsdatum sind in der Regel auf technische Probleme bei der Herstellung oder beim Testen des Patches zurückzuführen.

Beachten Sie, dass unter bestimmten Umständen die wichtigen Patch-Updates für spezifische Versions-Plattform-Produktkombinationen aus angekündigten und unangekündigten Fehlerbehebungen bestehen können. Eine unangekündigte Fehlerbehebung kann in einem wichtigen Patch-Update enthalten sein, wenn manche, aber nicht alle Teile der Sicherheitslücke behoben werden oder wenn die Fehlerbehebung für einige, aber nicht alle Versions-Plattform-Kombinationen eines Produkts verfügbar ist.


Sicherheitskorrekturen und Patch-Sets

Sicherheitskorrekturen sind auch in Patch-Sets (o. ä.) und in neuen Produktveröffentlichungen enthalten. Oracle schließt gemäß seiner Richtlinie alle Sicherheitskorrekturen eines wichtigen Patch-Updates in nachfolgenden Patch-Sets und Produktveröffentlichungen ein. Wenn dies wegen des Zeitpunkts einer Veröffentlichung nicht möglich ist, erstellt Oracle ein Patch, das die jüngsten wichtigen Patch-Updates enthält, die zusätzlich zum neu veröffentlichten Patch-Set oder Produkt angewendet werden können.


Reihenfolge beim Beheben von Sicherheitslücken

Um sicherzustellen, dass die Produkte aller Kunden von Oracle einen optimalen Sicherheitszustand aufweisen, korrigiert Oracle Sicherheitslücken nach dem potenziellen Risiko, das sie für Kunden bereithalten. Somit werden die Probleme mit den größten Risiken immer zuerst behoben. Korrekturen für Sicherheitslücken werden in der folgenden Reihenfolge erstellt:

  • Hauptcodeziele zuerst – d. h. die Codezeile, die für die nächste größere Version des Produkts entwickelt wird.
  • Für jede unterstützte Version mit Schwachstellen:
    • Hauptcodeziele zuerst – d. h. die Codezeile, die für die nächste größere Version des Produkts entwickelt wird.
    • Geringere Administrationskosten: Ein fester Zeitplan für wichtige Patch-Updates gestaltet die Patch-Verwaltung einfacher und effizienter. Mit diesem Zeitplan sollen auch die typischen Sperrtermine vermieden werden. Das sind Zeiten, während deren Kunden in der Regel ihre Produktionsumgebungen nicht ändern können.
    • Vereinfachte Patch-Verwaltung: Für viele Oracle Produkte gibt es kumulative Patch-Updates. Auf diese Weise sind die Kunden schnell auf dem neuesten Stand, was die Sicherheitsveröffentlichungen anbelangt, da mit der Anwendung des letzten kumulativen CPU alle bereits behandelten Sicherheitslücken geschlossen werden.
    • Identifikation von Schwachstellen in der Architektur: Sicherheitsbewertungen können Schwachstellen in der Architektur aufdecken.

Beachten Sie, dass Oracle dringend empfiehlt, dass Kunden nur unterstützte Produktversionen verwenden und wichtige Sicherheitsaktualisierungen und Patches umgehend für die verwendeten Versionen installieren. Das liegt daran, dass Oracle keine Bugfixes für nicht mehr unterstützte Produktversionen anbietet. Dennoch weisen diese Versionen mit hoher Wahrscheinlichkeit Schwachstellen auf, die durch CPU-Patches behoben werden könnten, und böswillige Angreifer entwickeln CPU-Bugfixes häufig zurück, setzen sie als Angriffsmittel ein und versuchen, diese Schwachstellen für Angriffe zu nutzen, kurz nachdem eine neue CPU-Version veröffentlicht wurde.

Wichtiger Hinweis: Denken Sie bitte daran, dass Oracle das Critical Patch Update als Hauptmethode empfiehlt, um die Sicherheitskorrekturen aller betroffenen Produkte auf dem neuesten Stand zu halten, da sie häufiger als Patch Sets und neue Produktversionen veröffentlicht werden.


Dokumentation zu wichtigen Patch-Updates

Jedes wichtige Patch-Update weist als höchstes Dokument ein Advisory-Dokument auf. In diesem Advisory sind die betroffenen Produkte aufgeführt. Eine Risikomatrix für jede Produktsuite ist ebenfalls enthalten.


Risikomatrizen

Die Risikomatrizen bieten Informationen, mit denen Kunden das Risiko bewerten können, das die Sicherheitslücken in ihrer spezifischen Umgebung bergen. So können Kunden die Systeme mit dem höchsten Risiko identifizieren und diese Fehler zuerst beheben. Jede neue Sicherheitslücke, die von einem wichtigen Patch-Update behoben wird, ist in einer Zeile der Risikomatrix für das betroffene Produkt aufgeführt.


Common Vulnerability Scoring System (CVSS)

Im Oktober 2006 wechselte Oracle von einer proprietären Methode zur Anzeige des relativen Schweregrads von Sicherheitslücken in den Risikomatrizen zum Common Vulnerability Scoring System (CVSS). Die Website von FIRST beschreibt CVSS als Bewertungssystem, das „offene und universelle Standardbewertungen des Schweregrads von Software-Sicherheitslücken bereitstellt“. CVSS ist eine standardisierte Methode zur Beurteilung des Schweregrads von Sicherheitslücken. Für jede Sicherheitslücke, die neu im wichtigen Patch-Update geschlossen wird, stellt Oracle Werte für die CVSS-Matrizen bereit. Diese Werte geben die Voraussetzungen für das Ausnutzen der Schwachstelle und die Einfachheit des Ausnutzens an. Außerdem beschreiben sie die Auswirkungen eines erfolgreichen Angriffs im Hinblick auf die Vertraulichkeit, Integrität und Verfügbarkeit des Zielsystems. CVSS wandelt mit einer Formel diese Daten in einen Basiswert zwischen 0,0 und 10,0 um, wobei 10,0 für den höchsten Schweregrad der Sicherheitslücke steht. Die Risikomatrizen werden anhand des CVSS-Basiswerts geordnet. Die Sicherheitslücke mit dem höchsten Schweregrad wird als Erstes aufgeführt. Die Version 3.0 des CVSS-Standards wurde im April 2016 von Oracle übernommen und wird aktuell angewendet. Verwendung des Common Vulnerability Scoring System (CVSS) durch Oracle liefert eine detaillierte Erklärung, wie die CVSS-Bewertungen in den Risiko-Advisorys von Oracle angewendet werden.


Common Vulnerabilities and Exposures (CVE)

Mit den Zahlenwerten der Common Vulnerabilities and Exposures (CVE) identifiziert Oracle die Sicherheitslücken, die in den Risikomatrizen der Advisorys zu wichtigen Patch-Updates und Sicherheitswarnungen aufgeführt sind. CVE-Nummern sind eindeutige, gängige Kennzeichner für öffentlich bekannte Informationen zu Sicherheitslücken. Das CVE-Programm wird vom Amt für Cybersicherheit und Kommunikation des Ministeriums für Innere Sicherheit der Vereinigten Staaten mitgefördert und von der MITRE Corporation verwaltet. Oracle gilt als CVE Numbering Authority (CNA). Das bedeutet, dass das Unternehmen CVE-Nummern für Sicherheitslücken in seinen Produkten ausstellen kann. Beachten Sie, dass die Bestellung von CVE-Nummern in den Security Advisorys von Oracle nicht notwendigerweise dem Datum entspricht, an dem die entsprechende Sicherheitslücke entdeckt wurde. Anders gesagt, werden die CVE-Nummern nicht in der Reihenfolge der Entdeckungsdaten der Sicherheitslücken zugewiesen, deren Behebungen in diesen Distributionen bereitgestellt werden. Das liegt daran, dass die CVE Numbering Authorities (CNAs) wie Oracle regelmäßig Sätze von CVE-Nummern von MITRE erhalten, damit sie nicht jedes Mal eine separate CVE-Nummer anfordern müssen, wenn eine Sicherheitslücke entdeckt wird. CVE-Nummern werden den Sicherheitslücken aufeinanderfolgend von Oracle aus dem Pool an CVE-Nummern zugewiesen, der Oracle von der CVE-Organisation zugeteilt wurde, und zwar drei bis vier Wochen vor der geplanten Verteilung der Fehlerbehebung über das Critical Patch Update-Programm.


Kurzzusammenfassung

Damit Unternehmen die Tragweite der möglichen Sicherheitsprobleme, die mit dem wichtigen Patch-Update behoben werden sollen, rasch einschätzen können, stellt Oracle eine Kurzzusammenfassung mit einer groben Übersicht über die Sicherheitsfehler bei jedem Produkt bereit, die vom wichtigen Patch-Update behoben werden. Diese Kurzzusammenfassung erklärt in einfachen Worten die Sicherheitslücken, die durch das wichtige Patch-Update behoben werden.


Ankündigung einer Critical Patch Update-Vorabveröffentlichung

Oracle veröffentlicht eine Zusammenfassung der Dokumentation zu wichtigen Patch-Updates am Donnerstag vor jedem Veröffentlichungstermin eines wichtigen Patch-Updates. Diese Zusammenfassung, die Ankündigung einer Critical Patch Update-Vorabveröffentlichung, bietet Vorabinformationen zu dem kommenden wichtigen Patch-Update, darunter:

  • Name und Versionsnummer der Oracle Produkte, die von den neuen Sicherheitslücken betroffen sind, welche durch das wichtige Patch-Update behoben werden
  • Nummer der Sicherheitskorrekturen für jede Produktsuite
  • höchster CVSS-Basiswert für jede Produktsuite
  • und möglicherweise weitere Informationen, die Unternehmen dabei unterstützen, die Anwendung des wichtigen Patch-Updates in ihrer Umgebung zu planen

Zwar stellt Oracle sicher, dass jede Ankündigung einer Vorabveröffentlichung zum Zeitpunkt der Veröffentlichung so präzise wie möglich ist, jedoch kann sich der tatsächliche Inhalt jedes wichtigen Patch-Updates nach der Veröffentlichung der Ankündigung der Vorabveröffentlichung ändern. Das Critical Patch Update Advisory ist deshalb als einzige genaue Beschreibung des tatsächlichen Inhalts eines Critical Patch Updates anzusehen.