LOGO_ASPICON-white.svg
aspicon-logo-1024x169-gradient.png
logo-oracle-white.svg
Microsoft_SQL_Server_Logo_horizontal_white.svg
postgresql-logo_white_horiz.png
logo_red_hat_white3
suse-white-logo-green_large_white3
logo_windows_server2_white.png
aws_white2.png
logo_azure_white2
Oracle-Cloud-Logo_horizontal_white2.png
Docker-Logo-White-RGB_Horizontal.png
logo_helm_white.png
ansible-horiz_white.png
logo_fujitsu_white.png
logo_hpe_white.png
NetApp_logo_horizontal_white.png
News zu Servicewelten

Ak­tua­li­sie­rung empfohlen: Oracles kri­ti­scher Patch für Oktober 2023 ist da!

Die re­gel­mä­ßi­ge Ak­tua­li­sie­rung deiner IT-Systeme ist un­ver­zicht­bar, um die In­te­gri­tät und Zu­ver­läs­sig­keit deiner IT-In­fra­struk­tur zu ge­währ­leis­ten. Oracle hat kürzlich das neueste Critical Patch Update (CPU) ver­öf­fent­licht, das eine Vielzahl von Si­cher­heits­lü­cken in ihren Produkten schließt.

Derzeit stehen insgesamt 387 Updates für das gesamte Pro­dukt­an­ge­bot von Oracle zur Verfügung. Einige der Schwach­stel­len, die im Rahmen dieses kri­ti­schen Patch Updates behoben wurden, betreffen mehrere Produkte gleichzeitig.

Oracle un­ter­streicht in den Update-Emp­feh­lun­gen nach­drück­lich, wie wichtig es ist, auf aktuelle und un­ter­stütz­te Versionen zu setzen und die Si­cher­heits­patches aus den kri­ti­schen Patch Updates zeitnah zu in­stal­lie­ren. Im Folgenden haben wir die kri­tischs­ten Patches für unsere Kunden zu­sam­men­ge­fasst. Bist du dir unsicher, ob der Patch für dich relevant ist? Zögere nicht, uns anzurufen. Wir stehen dir auch gerne bei der Vor­be­rei­tung und Durch­füh­rung der Patch-In­stal­la­ti­on zur Seite.

Kai Lindner, Projekt- und Service Manager bei ASPICON

Kai
Projekt- und Service Delivery
Manager bei ASPICON

Tel: +49.371.909515–100

WebLogic Server

Als Teil des Produkts Fusion Midd­le­wa­re, in dem insgesamt 46 Si­cher­heits­lü­cken bereinigt wurden, sind 15 Si­cher­heits­patches speziell für WebLogic Server. Zur Ein­ord­nung: alle be­rei­nig­ten Lücken bewegen sich im Base Score von 4.3. bis 9.8. (kritisch). Insgesamt können 35 der Schwach­stel­len über einen Exploid ohne Au­then­ti­fi­zie­rung aus­ge­nutzt werden. Wir empfehlen daher dringend, die Patches für WebLogic / Fussion Midd­le­wa­re einzuspielen.

Oracle MySQL Server

Das Critical Patch Update für Oracle MySQL enthält 37 neue Si­cher­heits­patches. 9 davon können ohne Au­then­ti­fi­zie­rung aus der Ferne aus­ge­nutzt werden. Insgesamt bewegt sich der Base Score bei den behoben Schwach­stel­len zwischen 2.7. und 9.8. Eine Ein­spie­lung sollte dringend erfolgen.

Oracle Database Server

Im Bereich Oracle Database Server in den Versionen 19C und 21C sind 10 kritische Si­cher­heits­patches verfügbar. Alle behobenen Schwach­stel­len haben einen mittleren Base Score im Bereich von 2.4. bis 6.5. 2 Schwach­stel­len könnte ein Angreifer remote und ohne Au­then­ti­fi­zie­rung nutzen, sofern diese nicht ge­schlos­sen werden. Wir empfehlen in jedem Fall die Ein­spie­lung vorzunehmen.

Oracle Java SE

In diesem Patch­bund­le sind 5 Si­cher­heits­patches sowie zu­sätz­li­che Patches von Dritt­an­bie­tern verfügbar. Bei allen der behoben Schwach­stel­len kann es gelingen, diese remote und ohne Au­then­ti­fi­zie­rung aus­zu­nut­zen. Der höchste Base Score liegt hier bei 7.5. Die rest­li­chen vier liegen im Mit­tel­feld zwischen 3.7. und 5.3.

En­ter­pri­se Manager (Cloud Control)

Dieses kritische Patch-Update für den Oracle En­ter­pri­se Manager enthält ebenfalls 5 Si­cher­heits­patches. Alle 5 behobenen Schwach­stel­len können ohne Au­then­ti­fi­zie­rung über ein Netzwerk aus der Ferne aus­ge­nutzt werden. Alle erkannten und behobenen Schwach­stel­len bewegen sich im Base Score zwischen 7.5. und 9.1 und sind daher als kritisch eingestuft.

Oracle Vir­tua­liza­ti­on

Innerhalb dieses Produktes werden 3 neue Si­cher­heits­patches behoben. Keine dieser Si­cher­heits­lü­cken können ohne Au­then­ti­fi­zie­rung aus der Ferne aus­ge­nutzt werden. Der höchste Base Score liegt bei 8.9.

Die folgende Tabelle fasst noch einmal die wich­tigs­ten Punkte zusammen: 
Be­trof­fe­nes Produkt
Anzahl Patches
Remote aus­nutz­bar?
Höchster Base Score
WebLogic Server 
46 
ja (35)
9.8.
Oracle MySQL Server 
37 
ja (9)
9.8.
Oracle Database Server 
10 
ja (2)
6.5.
Oracle Java SE 
ja (5)
7.5.
En­ter­pri­se Manager (Cloud Control) 
ja (5)
9.1.
Oracle Virtualization 
nein 
7.9.

Das gesamte Critical Patch Update Advisory von Oracle sowie Aus­füh­run­gen und In­for­ma­tio­nen zu allen vor­an­ge­gan­ge­nen und auch den aktuellen Security Alerts findest du unter folgendem Link:

» Hier geht’s zum Oracle Critical Patch Update Advisory

Die nächsten vier Patch-Termine wurden von Oracle bereits bekannt gegeben und finden an folgenden Tagen statt:

  • 16. Januar 2024
  • 16. April 2024
  • 16. Juli 2024
  • 15. Oktober 2024

Fazit und Empfehlung 

Durch re­gel­mä­ßi­ges In­stal­lie­ren von Si­cher­heits­patches kannst du po­ten­zi­el­le An­griffs­mög­lich­kei­ten mi­ni­mie­ren und das Risiko von Da­ten­ver­lust, un­be­fug­tem Zugriff und anderen Si­cher­heits­be­dro­hun­gen ver­rin­gern. Solltest du also fest­stel­len, dass eine oder mehrere der oben genannten Si­cher­heits­lü­cken auf ein von dir genutztes Produkt zutreffen, spiele bitte den ent­spre­chen­den Patch zeitnah ein.

Als unser Kunde bieten wir dir die Mög­lich­keit, dich in unsere Patch­lis­te ein­zu­tra­gen. Dadurch in­for­mie­ren wir dich recht­zei­tig vor den geplanten Patch-Terminen und gemeinsam mit dir ent­wi­ckeln wir einen Plan, um deine Systeme re­gel­mä­ßig auf den aktuellen Stand zu bringen – selbst­ver­ständ­lich unter Be­rück­sich­ti­gung deiner in­di­vi­du­el­len Rahmenbedingungen.

Hier findest du Infos zu den ver­gan­ge­nen Patch Updates und weitere nützliche Hinweise zum Thema Patchen im All­ge­mei­nen aus unserem News und Insights Bereich.

icon-arrow_right_medium-violet-blue.svg

Share this article

Facebook 
Twitter 
LinkedIn 
XING 
WhatsApp 
Email