LOGO_ASPICON-white.svg
aspicon-logo-1024x169-gradient.png
logo-oracle-white.svg
Microsoft_SQL_Server_Logo_horizontal_white.svg
postgresql-logo_white_horiz.png
logo_red_hat_white3
suse-white-logo-green_large_white3
logo_windows_server2_white.png
aws_white2.png
logo_azure_white2
Oracle-Cloud-Logo_horizontal_white2.png
Docker-Logo-White-RGB_Horizontal.png
logo_helm_white.png
ansible-horiz_white.png
logo_fujitsu_white.png
logo_hpe_white.png
NetApp_logo_horizontal_white.png
News zu Servicewelten

Das erste Oracle Critical Patch-Update für 2026 ist da und sollte zeitnah ein­ge­spielt werden

Oracle hat gestern im Rahmen seines regulären Patch-Zyklus ein um­fang­rei­ches Si­cher­heits­up­date ver­öf­fent­licht. Dieses adres­siert insgesamt » 337 Schwach­stel­len, die sowohl den eigenen Quellcode als auch ein­ge­bun­de­ne Kom­po­nen­ten von Dritt­an­bie­tern betreffen. Wie bereits bei früheren Updates wirken sich einige der iden­ti­fi­zier­ten Schwach­stel­len auf mehrere Produkte gleich­zei­tig aus.

Eine zeitnahe In­stal­la­ti­on der be­reit­ge­stell­ten Patches ist ent­schei­dend, um po­ten­zi­el­le Risiken wie Da­ten­ver­lust, Sys­tem­un­ter­bre­chun­gen oder Re­pu­ta­ti­ons­schä­den wirksam zu reduzieren.

Zur besseren Ori­en­tie­rung haben wir die re­le­van­tes­ten Updates für die bei unseren Kunden ein­ge­setz­ten Oracle-Produkte kompakt auf­be­rei­tet. Ergänzend dazu findest du im weiteren Verlauf eine Über­sichts­ta­bel­le mit den je­wei­li­gen Base Scores, um die Kri­ti­k­ali­tät der einzelnen Schwach­stel­len besser ein­schät­zen zu können.

Oracle - blk

Oracle Fusion Midd­le­wa­re (WebLogic Server)

Dieses Critical Patch Update umfasst » 51 neue Si­cher­heits­patches für Oracle Fusion Midd­le­wa­re. 47 der behobenen Schwach­stel­len sind po­ten­zi­ell ohne Au­then­ti­fi­zie­rung aus der Ferne aus­nutz­bar, das heißt, ein Angriff kann über das Netzwerk erfolgen, ohne dass gültige Be­nut­zer­an­mel­de­da­ten er­for­der­lich sind.

Gerade diese Art von Schwach­stel­len gilt als besonders kritisch, da sie An­grei­fern unter Umständen einen direkten Zugriff auf be­trof­fe­ne Systeme er­mög­li­chen können. In Um­ge­bun­gen, in denen Oracle Fusion Midd­le­wa­re internet- oder netz­werk­sei­tig exponiert ist, besteht daher ein erhöhtes Risiko für unbefugte Zugriffe, Da­ten­ma­ni­pu­la­ti­on oder die Übernahme von Diensten.

Oracle MySQL Server

Für Oracle MySQL stellt Oracle » 20 neue Si­cher­heits­patches bereit. Sieben der Schwach­stel­len lassen sich po­ten­zi­ell aus der Ferne und ohne Au­then­ti­fi­zie­rung ausnutzen.

Solche Schwach­stel­len sind besonders relevant für MySQL-Instanzen, die direkt oder indirekt aus dem Netzwerk er­reich­bar sind – etwa in Web‑, Cloud- oder Container-Um­ge­bun­gen. Ein er­folg­rei­cher Angriff kann unter anderem zu un­au­to­ri­sier­tem Zugriff auf Da­ten­ban­ken, Da­ten­ver­lust oder der Be­ein­träch­ti­gung der Ver­füg­bar­keit führen.

Oracle Java SE

Für Oracle Java SE umfasst dieses Critical Patch Update insgesamt » 11 neue Si­cher­heits­patches. Alle behobenen Schwach­stel­len sind po­ten­zi­ell ohne Au­then­ti­fi­zie­rung aus der Ferne aus­nutz­bar. Ent­spre­chend ist das Risiko ins­be­son­de­re in Um­ge­bun­gen mit aktiv genutzten Java-Runtimes als hoch einzustufen.

Bei der Bewertung der CVSS-Scores ist ein wichtiger Kontext zu beachten: Die an­ge­ge­be­nen Werte gehen davon aus, dass ein Benutzer, der ein Java-Applet oder eine Java-Web-Start-Anwendung ausführt, über Ad­mi­nis­tra­tor­rech­te verfügt – ein Szenario, das unter Windows häufig an­zu­tref­fen ist. Wird Java hingegen ohne ad­mi­nis­tra­ti­ve Be­rech­ti­gun­gen aus­ge­führt, wie es ty­pi­scher­wei­se unter Solaris oder Linux der Fall ist, re­du­zie­ren sich die Aus­wir­kun­gen auf Ver­trau­lich­keit, In­te­gri­tät und Ver­füg­bar­keit, was nicht bedeutet, dass kein Risiko besteht.

Oracle Database Server

Im Bereich der Oracle-Da­ten­bank­pro­duk­te bringt dieses Critical Patch Update insgesamt » sieben neue Si­cher­heits­patches mit sich, ergänzt durch weitere Updates für Kom­po­nen­ten von Dritt­an­bie­tern. Zwei der behobenen Schwach­stel­len gelten als aus der Ferne und ohne Au­then­ti­fi­zie­rung ausnutzbar.

Darüber hinaus ist einer der Patches speziell für reine Client-In­stal­la­tio­nen relevant, also für Systeme, auf denen kein Oracle Database Server, sondern aus­schließ­lich Client-Kom­po­nen­ten in­stal­liert sind. Diese Be­son­der­heit ist vor allem in Entwicklungs‑, Ad­mi­nis­tra­ti­ons- oder An­wen­dungs­um­ge­bun­gen wichtig, da Client-Systeme bei Patch­be­wer­tun­gen häufig übersehen werden.

En­ter­pri­se Manager (Cloud Control)

Für Oracle En­ter­pri­se Manager stellt das aktuelle Critical Patch Update » vier neue Si­cher­heits­patches bereit. Alle adres­sier­ten Schwach­stel­len sind po­ten­zi­ell ohne Au­then­ti­fi­zie­rung aus der Ferne aus­nutz­bar. Client-only-In­stal­la­tio­nen sind hiervon nicht betroffen, da keiner der Patches für Um­ge­bun­gen gilt, in denen Oracle En­ter­pri­se Manager selbst nicht in­stal­liert ist.

Wichtig für die Bewertung der Ge­samt­ri­si­ken ist die enge tech­ni­sche Ver­zah­nung von Oracle En­ter­pri­se Manager mit Oracle Database und Oracle Fusion Midd­le­wa­re. En­ter­pri­se-Manager-Produkte be­inhal­ten Kom­po­nen­ten aus beiden Pro­dukt­fa­mi­li­en, die ebenfalls von den in den je­wei­li­gen Ab­schnit­ten be­schrie­be­nen Schwach­stel­len betroffen sein können. Das tat­säch­li­che Ex­po­si­ti­ons­ri­si­ko hängt daher maß­geb­lich von den ein­ge­setz­ten Versionen der Oracle Database und der Oracle Fusion Midd­le­wa­re ab.

Zu beachten ist außerdem, dass Si­cher­heits­up­dates für Oracle Database und Oracle Fusion Midd­le­wa­re nicht separat in der Risk Matrix von Oracle En­ter­pri­se Manager auf­ge­führt sind. Da Schwach­stel­len in diesen Kom­po­nen­ten jedoch direkte Aus­wir­kun­gen auf En­ter­pri­se-Manager-In­stal­la­tio­nen haben können, empfiehlt Oracle aus­drück­lich, das Critical Patch Update vom Januar 2026 auch für die Oracle-Database- und Oracle-Fusion-Midd­le­wa­re-Kom­po­nen­ten innerhalb von En­ter­pri­se Manager einzuspielen.

Die folgende Übersicht stellt die wich­tigs­ten In­for­ma­tio­nen noch einmal kompakt dar – inklusive des jeweils höchsten CVSS-Ba­sis­werts pro Produktbereich.

Be­trof­fe­nes Produkt
Anzahl Patches
Remote aus­nutz­bar?
Höchster Base Score
Oracle Fusion Midd­le­wa­re (WebLogic Server) 
51 
ja (47)
10.0
Oracle MySQL Server 
20 
ja (7)
9.8
Oracle Java SE 
11 
ja (11)
7.5
Oracle Database Server 
ja (2)
7.4
En­ter­pri­se Manager (Cloud Control) 
ja (4)
7.2

De­tail­lier­te In­for­ma­tio­nen zum aktuellen Critical Patch Update sowie zu früheren Updates und Si­cher­heits­war­nun­gen findest du in den » Oracle Security Alerts.

Zur optimalen Planung hat Oracle die nächsten Termine für kommende Patch-Ver­öf­fent­li­chun­gen bereits angekündigt:

  • 21. April 2026
  • 21. Juli 2026
  • 20. Oktober 2026
  • 19. Januar 2027

Fazit und Empfehlung

Das aktuelle Oracle Critical Patch Update (CPU) zeigt erneut, wie breit gefächert und kritisch das Be­dro­hungs­po­ten­zi­al innerhalb komplexer Oracle-Um­ge­bun­gen ist. Zahl­rei­che der behobenen Schwach­stel­len sind remote und ohne Au­then­ti­fi­zie­rung aus­nutz­bar, was ins­be­son­de­re für netz­werk­ex­po­nier­te Systeme ein erhöhtes Risiko darstellt. Ent­spre­chend sollte das CPU nicht als op­tio­na­les War­tung­s­up­date, sondern als es­sen­zi­el­ler Be­stand­teil des Si­cher­heits­ma­nage­ments be­trach­tet werden.

Wir empfehlen, die eigene Oracle-Land­schaft zeitnah und struk­tu­riert zu prüfen:

  • Iden­ti­fi­ka­ti­on aller ein­ge­setz­ten Oracle-Produkte inklusive ab­hän­gi­ger Komponenten
  • Prio­ri­sie­rung der Patches anhand von Ex­po­niert­heit, CVSS-Werten und ge­schäft­li­cher Kritikalität
  • Be­rück­sich­ti­gung auch von Client-In­stal­la­tio­nen und Ma­nage­ment-Kom­po­nen­ten, die in Patch­pro­zes­sen häufig übersehen werden

Un­ter­neh­men, die ihre Patch­pro­zes­se re­gel­mä­ßig über­prü­fen, Updates zeitnah ein­spie­len und Ab­hän­gig­kei­ten kon­se­quent be­rück­sich­ti­gen, re­du­zie­ren nicht nur tech­ni­sche Risiken, sondern schützen auch ihre Ge­schäfts­pro­zes­se, Daten und Re­pu­ta­ti­on nach­hal­tig. Das Oracle Critical Patch Update bleibt damit ein zentraler Baustein für einen wirksamen und pro­ak­ti­ven IT-Sicherheitsansatz.

Kennst du schon unseren ASPICON Patch-Management-Service?

Als unser Kunde pro­fi­tierst du von unserem Patch-Ma­nage­ment-Service. Das heißt:

  • Wir in­for­mie­ren dich recht­zei­tig über neue Patches und deren Relevanz für deine Systemlandschaft.
  • Gemeinsam mit dir finden wir einen Weg, deine Systeme re­gel­mä­ßig auf den neuesten Stand zu bringen – selbst­ver­ständ­lich unter Be­rück­sich­ti­gung deiner in­di­vi­du­el­len Rah­men­be­din­gun­gen und mit möglichst geringer Downtime.


Ruf uns gern an, um dich auf unserer Patch­lis­te eintragen zu lassen und deine Systeme optimal zu schützen: +49.371.909515–100

Marcel Heinrich - Account Manager ASPICON

Marcel
Senior Account Manager bei ASPICON

Tel: +49.371.909515–100

Hier findest du Infos zu den ver­gan­ge­nen » Patch Updates und weitere nützliche Hinweise zum Thema Patchen im All­ge­mei­nen aus unserem News und Insights Bereich.

icon-arrow_right_medium-violet-blue.svg

Share this article

Facebook 
Twitter 
LinkedIn 
XING 
WhatsApp 
Email