Software Security Assurance

Oracle Software
Security Assurance

Richtlinien zu Sicherheitskorrekturen

Das vierteljährliche Programm zu Critical Patch Updates (CPU) ist der Hauptmechanismus für den Backport von Sicherheitskorrekturen für Oracle Produkte. Das Datum für Critical Patch Updates wird ein Jahr im Voraus angekündigt und auf der Seite Critical Patch Updates und Security Alerts veröffentlicht. Die Patches beheben entscheidende Sicherheitslücken und beinhalten zudem Codekorrekturen, die für die Sicherheitskorrekturen erforderlich sind.

Die Sicherheitsupdates für alle Produkte, die Critical Patch Updates erhalten, stehen Kunden mit aktivem Oracle Support auf der Website My Oracle Support zur Verfügung. Über die folgenden Links erhalten Sie weitere Informationen über die Richtlinien zu Sicherheitskorrekturen von Oracle:


Security Alerts

Security Alerts stellen einen Mechanismus dar, nach dem eine Sicherheitskorrektur oder eine kleine Anzahl von Sicherheitskorrekturen veröffentlicht wird. Security Alerts waren bis August 2004 das vorrangige Medium zur Veröffentlichung von Sicherheitskorrekturen. Im Januar 2005 begann Oracle, Korrekturen mithilfe von Critical Patch Updates nach einem festen Zeitplan zu veröffentlichen.

Bei einer einmaligen oder gefährlichen Bedrohung für die Kunden kann es vorkommen, dass Oracle einen Security Alert veröffentlicht. In diesem Fall werden die Kunden mit einer E-Mail-Nachricht über My Oracle Support und Oracle Technology Network zum Security Alert informiert. Die im Security Alert enthaltene Korrektur ist auch Bestandteil des nächsten Critical Patch Update.

Kumulative oder One-Off Patches

Soweit möglich, versucht Oracle kumulative Critical Patch Updates zu erstellen, sodass jedes Critical Patch Update die Sicherheitskorrekturen aller vorherigen Critical Patch Updates einschließt. In der Praxis heißt das: Wenn ein Produkt kumulative Korrekturen empfängt und ausschließlich dieses Produkt verwendet wird, muss nur das letzte Critical Patch Update angewendet werden. Es enthält dann alle erforderlichen Korrekturen.

Korrekturen für andere Produkte, die keine kumulativen Korrekturen erhalten, werden als One-off Patches freigegeben. Bei diesen Produkten geben Critical Patch Update Advisorys Aufschluss zu allen vorhergehenden Patches, die angewendet werden müssen.

Ankündigung von Sicherheitskorrekturen

Nach den Richtlinien von Oracle werden Sicherheitskorrekturen möglichst erst dann angekündigt, wenn die Korrekturen für alle betroffenen und unterstützten Produktversions- und Plattformkombinationen verfügbar sind. Zu dieser Richtlinie gibt es jedoch zwei Ausnahmen:

1. 'On-Request-Programm': Oracle erstellt nicht systematisch Patches zu bestimmten Produktversions- und Plattformkombinationen, bei denen erfahrungsgemäß nur selten Patches von den Kunden heruntergeladen werden. Kunden müssen diese Patches anfordern. Das 'On-request'-Programm und der Vorgang zum Anfordern dieser Patches für aktuelle oder künftige CPUs werden im Patch Availability Document zur Critical Patch Update-Version erläutert.

2. Geringfügige Verzögerungen bei der Verfügbarkeit des Patches von bis zu zwei Wochen liegen in der Regel an technischen Problemen beim Erstellen oder Testen des Patches.

Unter bestimmten Bedingungen können Critical Patch Updates für spezielle Produktversions- und Plattformkombinationen angekündigte und auch nicht angekündigte Sicherheitskorrekturen enthalten. Eine nicht angekündigte Sicherheitskorrektur kann in einem bestimmten Critical Patch Update-Patch enthalten sein, wenn einige, jedoch nicht alle, Aspekte der Sicherheitslücke behoben wurden oder die Korrektur für einige, jedoch nicht für alle, Versions- und Plattformkombinationen eines Produkts verfügbar sind.

Sicherheitskorrekturen und Patch Sets

Sicherheitskorrekturen werden auch in Patch Sets (oder Ähnliches) und in neue Produktversionen aufgenommen. Es gehört zu den Richtlinien von Oracle, alle Sicherheitskorrekturen eines Critical Patch Updates in nachfolgende Patch Sets und in neue Produktversionen einzuschließen. Falls das aus zeitlichen Gründen für eine Version nicht möglich ist, erstellt Oracle einen Patch mit den letzten Critical Patch Update-Korrekturen, der zusätzlich zum neu veröffentlichten Patch Set oder der Produktversion angewendet werden kann.

Reihenfolge bei der Korrektur von Sicherheitslücken

Um sicherzustellen, dass die Produkte aller Kunden von Oracle einen optimalen Sicherheitszustand aufweisen, korrigiert Oracle Sicherheitslücken nach dem potenziellen Risiko, das sie für Kunden bereithalten. Somit werden die Probleme mit den größten Risiken immer zuerst behoben. Korrekturen für Sicherheitslücken werden in der folgenden Reihenfolge erstellt:

  • Hauptcodeziele zuerst – d. h. die Codezeile, die für die nächste größere Version des Produkts entwickelt wird.
  • Für jede unterstützte Version mit Schwachstellen:
    • Behebung im nächsten Patch-Satz, wenn ein weiterer Patch-Satz für diese unterstützte Version geplant ist
    • Erstellung des Critical Patch Update-Patches

Beachten Sie, dass Oracle DRINGEND empfiehlt, dass Kunden nur unterstützte Produktversionen verwenden und wichtige Sicherheitsaktualisierungen und Patches umgehend für die verwendeten Versionen installieren. Das liegt daran, dass Oracle keine Bugfixes für nicht mehr unterstützte Produktversionen anbietet, obwohl diese Versionen mit hoher Wahrscheinlichkeit Schwachstellen aufweisen, die durch CPU-Patches behoben werden könnten, und böswillige Angreifer CPU-Bugfixes häufig zurückentwickeln, als Angriffsmittel einsetzen und versuchen, diese Schwachstellen für Angriffe zu nutzen, kurz nachdem eine neue CPU-Version veröffentlicht wurde.

Wichtiger Hinweis: Denken Sie bitte daran, dass Oracle das Critical Patch Update als Hauptmethode empfiehlt, um die Sicherheitskorrekturen aller betroffenen Produkte auf dem neuesten Stand zu halten, da sie häufiger als Patch Sets und neue Produktversionen veröffentlicht werden.

Dokumentation zum Critical Patch Update

Zu jedem Critical Patch Update gehört ein Advisory als primäre Anleitung. In diesem Advisory werden alle betroffenen Produkte und eine Risikomatrix für jede Produkt-Suite aufgeführt.

Risikomatrizen

Die Risikomatrizen enthalten Informationen, mit deren Hilfe die Kunden das Risiko der Sicherheitslücken für ihre spezielle Umgebung einschätzen können. Damit können sie die am stärksten gefährdeten Systeme ermitteln und als Erstes durch einen Patch schützen. Jede neue Sicherheitslücke, die mit einem Critical Patch Update behoben wird, wird in einer Zeile der Risikomatrix für das betroffene Produkt aufgeführt.

Common Vulnerability Scoring System (CVSS)

Im Oktober 2006 wechselte Oracle von einer proprietären Methode zur Angabe des relativen Schweregrads von Sicherheitslücken in den Risikomatrizen zum Common Vulnerability Scoring System (CVSS). Die Website von FIRST beschreibt CVSS als ein Bewertungssystem, das einen "offenen und allgemein gültigen Standard zur Einstufung des Schweregrades von Sicherheitslücken in Software liefern soll". CVSS ist eine Standardmethode zur Bewertung des Schweregrads von Sicherheitslücken. Für jede neue Sicherheitslücke, die in einem Critical Patch Update behoben wird, liefert Oracle Werte für CVSS-Metriken. Diese geben die Voraussetzungen an, unter denen eine Sicherheitslücke ausgenutzt werden kann, und den Schwierigkeitsgrad der Ausnutzung sowie die Auswirkungen eines erfolgreichen Angriffs in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit des angegriffenen Systems. CVSS gibt diese Informationen mithilfe einer Formel in einer Basisbewertung zwischen 0,0 und 10,0 an, wobei 10,0 die schwerwiegendste Sicherheitslücke bezeichnet. Die Risikomatrizen sind anhand der CVSS-Basisbewertung sortiert. Dabei steht die schwerwiegendste Sicherheitslücke an oberster Stelle. Version 3.0 des CVSS-Standards wurde im April 2016 von Oracle eingeführt und wird derzeit verwendet. Bei der Verwendung des Common Vulnerability Scoring System (CVSS) durch Oracle wird in den Risiko-Advisorys von Oracle genau erläutert, wie die CVSS-Bewertungen angewendet werden.

Common Vulnerabilities and Exposures (CVE)

Oracle identifiziert mithilfe von CVE-Nummern (Common Vulnerabilities and Exposures) die Sicherheitsrisiken, die in den Risikomatrizen der Critical Patch Update- und Security Alert-Advisorys aufgeführt werden. CVE-Nummern sind eindeutige, allgemeine Bezeichner für öffentlich bekannte Informationen zu Sicherheitslücken. Das CVE-Programm wird unter anderem vom Office of Cybersecurity and Communications des US-Ministeriums für Innere Sicherheit unterstützt und wird von der MITRE Corporation verwaltet. Oracle gilt als CVE Numbering Authority (CNA). Das bedeutet, dass das Unternehmen CVE-Nummern für Sicherheitslücken in seinen Produkte ausstellen kann. Beachten Sie, dass die Bestellung von CVE-Nummern in den Security Advisorys von Oracle nicht notwendigerweise dem Datum entspricht, an dem die entsprechende Sicherheitslücke entdeckt wurde. Anders ausgedrückt: CVE-Nummern werden nicht in der Reihenfolge des Entdeckungsdatums von Sicherheitslücken aufgeführt, deren Korrekturen verteilt werden. Das liegt daran, dass CVE Numbering Authorities (CNAs) wie Oracle regelmäßig CVE-Nummerngruppen von MITRE erhalten. Deshalb muss nicht bei jeder Entdeckung einer Sicherheitslücke eine gesonderte Anforderung für eine neue CVE ausgestellt werden. Oracle weist Sicherheitslücken sequenziell CVE-Nummern aus dem von der CVE-Organisation zugewiesenen Pool an CVE-Nummern zu, und zwar etwa 3 bis 4 Wochen vor der geplanten Verteilung der Korrektur über das Critical Patch Update-Programm.

Zusammenfassung

Damit Unternehmen schnell einschätzen können, wie wichtig die Korrektur eines potenziellen Sicherheitsproblems mit dem Critical Patch Update ist, stellt Oracle ein Executive Summary bereit. Dieses enthält eine Übersicht der Sicherheitsprobleme im jeweiligen Produkt, die mit dem Update behoben werden. Das Executive Summary erklärt die mit dem Critical Patch Update behobenen Sicherheitslücken in "einfachen Worten".

Vorankündigung des Critical Patch Updates

Oracle veröffentlicht am Donnerstag vor jedem Critical Patch Update eine Zusammenfassung der Dokumentation zum Critical Patch Update. Diese Zusammenfassung ist eine Vorankündigung des Critical Patch Updates, Critical Patch Update Pre-Release Announcement genannt, und enthält Informationen zum anstehenden Critical Patch Update:

  • Name und Versionsnummer der Oracle Produkte, die von den neuen Sicherheitslücken betroffen sind und mit dem Critical Patch Update korrigiert werden.
  • Anzahl der Sicherheitskorrekturen für die einzelnen Produkt-Suites
  • Höchste CVSS-Basisbewertung für die einzelnen Produkt-Suites
  • Gegebenenfalls alle sonstigen Informationen, die Unternehmen dabei helfen können, die Anwendung des Critical Patch Updates in ihrer Umgebung zu planen.

Oracle stellt zwar sicher, dass jede Vorankündigung eines Critical Patch Updates zum Zeitpunkt seiner Veröffentlichung so genau wie möglich ist, der tatsächliche Inhalt des jeweiligen Updates kann sich jedoch nach der Veröffentlichung der Vorankündigung ändern. Das Critical Patch Update Advisory ist deshalb als einzige genaue Beschreibung des tatsächlichen Inhalts eines Critical Patch Updates anzusehen.