Keine Ergebnisse gefunden

Ihre Suche ergab keine Treffer.

Das Critical Patch Update-Programm

Das vierteljährliche Programm zu Critical Patch Updates (CPU, wichtige Patch-Updates) ist der Hauptmechanismus für den Backport von Sicherheitskorrekturen für Oracle Produkte. Critical Patch Updates werden zu Terminen veröffentlicht, die ein Jahr im Voraus bekannt gegeben werden. Sie werden auf der Seite Critical Patch Updates und Sicherheitswarnungen veröffentlicht. Die Patches beheben größere Sicherheitslücken und enthalten außerdem Codefixes, die Voraussetzungen für die Sicherheitskorrekturen sind.

Die Sicherheitsupdates für alle Produkte, die Critical Patch Updates erhalten, stehen Kunden mit aktivem Oracle Support unter „My Oracle Support“ zur Verfügung. Über die folgenden Links erhalten Sie weitere Informationen zu den Richtlinien für Sicherheitskorrekturen von Oracle.

Das Security Alerts-Programm

Bei Sicherheitswarnungen handelt es sich um einen Veröffentlichungsmechanismus für die Behebung einer Sicherheitslücke oder einer kleinen Anzahl an Sicherheitslücken. Bis August 2004 wurden Sicherheitswarnungen als hauptsächliche Veröffentlichungsoption für Sicherheitskorrekturen genutzt. Im Januar 2005 begann Oracle, Korrekturen nach einem festen Zeitplan zu veröffentlichen – mit Critical Patch Updates.

Oracle kann im Fall einer einzigartigen oder gefährlichen Bedrohung für unsere Kunden eine Sicherheitswarnung herausgeben. Dabei werden die Kunden per E-Mail-Benachrichtigung via My Oracle Support und das Oracle Technology Network über die Sicherheitswarnung informiert. Die in der Sicherheitswarnung enthaltene Korrektur ist auch im nachfolgenden Critical Patch Update enthalten.

Kumulative oder One-Off Patches

Soweit möglich, versucht Oracle, wichtige Patch-Updates kumulativ anzubieten, d. h. dass jedes Critical Patch Updates die Sicherheitskorrekturen aller vorhergehenden Critical Patch Updates enthält. Praktisch heißt das Folgendes: Bei Produkten, für die es kumulative Patches gibt, müssen Sie nur das aktuelle Critical Patch Update anwenden, wenn Sie nur diese Produkte nutzen, da es alle erforderlichen Fehlerbehebungen enthält.

Fehlerbehebungen für die anderen Produkte, für die es keine kumulativen Patches gibt, werden als einmalige Patches veröffentlicht. Lesen Sie bei diesen Produkten die früheren Critical Patch Update Advisorys, um alle Patches zu finden, die Sie anwenden müssen.

Ankündigung von Sicherheitskorrekturen

Gemäß der Oracle Richtlinie werden Sicherheitskorrekturen, soweit möglich, erst dann angekündigt, wenn die Korrekturen für alle betroffenen und unterstützten Produktversionen und Plattformkombinationen verfügbar sind. Es gibt jedoch zwei Ausnahmen bei dieser Richtlinie:

1. Anforderungsprogramm: Für bestimmte Produktversionen und Plattformkombinationen, für die in der Vergangenheit nur wenige Patches von Kunden heruntergeladen wurden, stellt Oracle nicht systematisch Patches her. Die Entwicklung solcher Patches muss von Kunden angefordert werden. Das Anforderungsprogramm und das Verfahren zur Anforderung solcher Patches für neuere oder zukünftige Critical Patch Updates sind im Dokument zur Patch-Verfügbarkeit beschrieben, das mit jedem wichtigen Patch-Update herausgegeben wird.

2. Geringe Verzögerungen bei der Patch-Verfügbarkeit von bis zu zwei Wochen ab Ankündigungsdatum sind in der Regel auf technische Probleme bei der Herstellung oder beim Testen des Patches zurückzuführen.

Beachten Sie, dass unter bestimmten Umständen die Critical Patch Updates für spezifische Versions-Plattform-Produktkombinationen aus angekündigten und unangekündigten Fehlerbehebungen bestehen können. Eine unangekündigte Fehlerbehebung kann in einem Critical Patch Update enthalten sein, wenn manche, aber nicht alle Teile der Sicherheitslücke behoben werden oder wenn die Fehlerbehebung für einige, aber nicht alle Versions-Plattform-Kombinationen eines Produkts verfügbar ist.

Sicherheitskorrekturen und Patch-Sets

Sicherheitskorrekturen sind auch in Patch-Sets (o. ä.) und in neuen Produktveröffentlichungen enthalten. Oracle schließt gemäß seiner Richtlinie alle Sicherheitskorrekturen eines Critical Patch Updates in nachfolgenden Patch-Sets und Produktveröffentlichungen ein. Wenn dies wegen des Zeitpunkts einer Veröffentlichung nicht möglich ist, erstellt Oracle ein Patch, das die jüngsten Critical Patch Updates enthält, die zusätzlich zum neu veröffentlichten Patch-Set oder Produkt angewendet werden können.

Reihenfolge beim Beheben von Sicherheitslücken

Um sicherzustellen, dass die Produkte aller Kunden von Oracle einen optimalen Sicherheitszustand aufweisen, korrigiert Oracle Sicherheitslücken nach dem potenziellen Risiko, das sie für Kunden bereithalten. Somit werden die Probleme mit den größten Risiken immer zuerst behoben. Korrekturen für Sicherheitslücken werden in der folgenden Reihenfolge erstellt:

  • Hauptcodeziele zuerst – d. h. die Codezeile, die für die nächste größere Version des Produkts entwickelt wird.
  • Für jede unterstützte Version mit Schwachstellen:
    • Behebung im nächsten Patch-Satz, wenn ein weiterer Patch-Satz für diese unterstützte Version geplant ist
    • Erstellung des Critical Patch Update-Patches

Beachten Sie, dass Oracle dringend empfiehlt, dass Kunden nur unterstützte Produktversionen verwenden und wichtige Sicherheitsaktualisierungen und Patches umgehend für die verwendeten Versionen installieren. Das liegt daran, dass Oracle keine Korrekturen für nicht mehr unterstützte Produktversionen anbietet. Dennoch weisen diese Versionen mit hoher Wahrscheinlichkeit Schwachstellen auf, die durch CPU-Patches behoben werden könnten, und böswillige Angreifer entwickeln CPU-Bugfixes häufig zurück, setzen sie als Angriffsmittel ein und versuchen, diese Schwachstellen für Angriffe zu nutzen, kurz nachdem eine neue CPU-Version veröffentlicht wurde.

Wichtiger Hinweis: Denken Sie bitte daran, dass Oracle das Critical Patch Update als Hauptmethode empfiehlt, um die Sicherheitskorrekturen aller betroffenen Produkte auf dem neuesten Stand zu halten, da sie häufiger als Patch Sets und neue Produktversionen veröffentlicht werden.

Dokumentation zu Critical Patch Updates

Jedes Critical Patch Update weist als höchstes Dokument ein Advisory-Dokument auf. In diesem Advisory sind die betroffenen Produkte aufgeführt. Eine Risikomatrix für jede Produktsuite ist ebenfalls enthalten.

Risikomatrizen

Die Risikomatrizen bieten Informationen, mit denen Kunden das Risiko bewerten können, das die Sicherheitslücken in ihrer spezifischen Umgebung bergen. So können Kunden die Systeme mit dem höchsten Risiko identifizieren und diese Fehler zuerst beheben. Jede neue Sicherheitslücke, die von einem Critical Patch Update behoben wird, ist in einer Zeile der Risikomatrix für das betroffene Produkt aufgeführt.

Common Vulnerability Scoring System (CVSS)

Im Oktober 2006 wechselte Oracle von einer proprietären Methode zur Anzeige des relativen Schweregrads von Sicherheitslücken in den Risikomatrizen zum Common Vulnerability Scoring System (CVSS). Die Website von FIRST beschreibt CVSS als Bewertungssystem, das „offene und universelle Standardbewertungen des Schweregrads von Software-Sicherheitslücken bereitstellt“. CVSS ist eine standardisierte Methode zur Beurteilung des Schweregrads von Sicherheitslücken. Für jede Sicherheitslücke, die neu im wichtigen Patch-Update geschlossen wird, stellt Oracle Werte für die CVSS-Matrizen bereit. Diese Werte geben die Voraussetzungen für das Ausnutzen der Schwachstelle und die Einfachheit des Ausnutzens an. Außerdem beschreiben sie die Auswirkungen eines erfolgreichen Angriffs im Hinblick auf die Vertraulichkeit, Integrität und Verfügbarkeit des Zielsystems. CVSS wandelt mit einer Formel diese Daten in einen Basiswert zwischen 0,0 und 10,0 um, wobei 10,0 für den höchsten Schweregrad der Sicherheitslücke steht. Die Risikomatrizen werden anhand des CVSS-Basiswerts geordnet. Die Sicherheitslücke mit dem höchsten Schweregrad wird als Erstes aufgeführt. Die Version 3.0 des CVSS-Standards wurde im April 2016 von Oracle übernommen und wird aktuell angewendet. Verwendung des Common Vulnerability Scoring System (CVSS) durch Oracle liefert eine detaillierte Erklärung, wie die CVSS-Bewertungen in den Risiko-Advisorys von Oracle angewendet werden.

Common Vulnerabilities and Exposures (CVE)

Mit den Zahlenwerten der Common Vulnerabilities and Exposures (CVE) identifiziert Oracle die Sicherheitslücken, die in den Risikomatrizen der Advisorys zu wichtigen Patch-Updates und Sicherheitswarnungen aufgeführt sind. CVE-Nummern sind eindeutige, gängige Kennzeichner für öffentlich bekannte Informationen zu Sicherheitslücken. Das CVE-Programm wird vom Amt für Cybersicherheit und Kommunikation des Ministeriums für Innere Sicherheit der Vereinigten Staaten mitgefördert und von der MITRE Corporation verwaltet. Oracle gilt als CVE Numbering Authority (CNA). Das bedeutet, dass das Unternehmen CVE-Nummern für Sicherheitslücken in seinen Produkten ausstellen kann. Beachten Sie, dass die Bestellung von CVE-Nummern in den Security Advisorys von Oracle nicht notwendigerweise dem Datum entspricht, an dem die entsprechende Sicherheitslücke entdeckt wurde. Anders gesagt, werden die CVE-Nummern nicht in der Reihenfolge der Entdeckungsdaten der Sicherheitslücken zugewiesen, deren Behebungen in diesen Distributionen bereitgestellt werden. Das liegt daran, dass die CVE Numbering Authorities (CNAs) wie Oracle regelmäßig Sätze von CVE-Nummern von MITRE erhalten, damit sie nicht jedes Mal eine separate CVE-Nummer anfordern müssen, wenn eine Sicherheitslücke entdeckt wird. CVE-Nummern werden den Sicherheitslücken aufeinanderfolgend von Oracle aus dem Pool an CVE-Nummern zugewiesen, der Oracle von der CVE-Organisation zugeteilt wurde, und zwar drei bis vier Wochen vor der geplanten Verteilung der Fehlerbehebung über das Critical Patch Update-Programm.

Kurzzusammenfassung

Damit Unternehmen die Tragweite der möglichen Sicherheitsprobleme, die mit dem Critical Patch Update behoben werden sollen, rasch einschätzen können, stellt Oracle bei jedem Produkt eine Kurzzusammenfassung mit einer groben Übersicht über die Sicherheitsprobleme bereit, die vom Critical Patch Update behoben werden. Diese Kurzzusammenfassung erklärt in einfachen Worten die Sicherheitslücken, die durch das wichtige Patch-Update behoben werden.

Ankündigung einer Critical Patch Update-Vorabveröffentlichung

Oracle veröffentlicht eine Zusammenfassung der Dokumentation zu wichtigen Patch-Updates am Donnerstag vor jedem Veröffentlichungstermin eines wichtigen Patch-Updates. Diese Zusammenfassung, die Ankündigung einer Critical Patch Update-Vorabveröffentlichung, bietet Vorabinformationen zu dem kommenden wichtigen Patch-Update, darunter:

  • Name und Versionsnummer der Oracle Produkte, die von den neuen Sicherheitslücken betroffen sind, welche durch das wichtige Patch-Update behoben werden
  • Nummer der Sicherheitskorrekturen für jede Produktsuite
  • höchster CVSS-Basiswert für jede Produktsuite
  • und möglicherweise weitere Informationen, die Unternehmen dabei unterstützen, die Anwendung des wichtigen Patch-Updates in ihrer Umgebung zu planen

Zwar stellt Oracle sicher, dass jede Ankündigung einer Vorabveröffentlichung zum Zeitpunkt der Veröffentlichung so präzise wie möglich ist, jedoch kann sich der tatsächliche Inhalt jedes wichtigen Patch-Updates nach der Veröffentlichung der Ankündigung der Vorabveröffentlichung ändern. Das Critical Patch Update Advisory ist deshalb als einzige genaue Beschreibung des tatsächlichen Inhalts eines Critical Patch Updates anzusehen.