News zu Servicewelten

Oracle Critical Patch Update April 2023: Werde jetzt aktiv!

Es ist schon wieder so weit. Am 18. April wurde der zweite von insgesamt vier Quar­tals­patches für Oracle Produkte ver­öf­fent­licht. Insgesamt stehen für das komplette Produkt-Portfolio von Oracle 433 Updates zur Verfügung. Einige der in diesem kri­ti­schen Patch-Update behobenen Schwach­stel­len betreffen mehrere Produkte.

Oracle hebt in der Up­date­emp­feh­lung deutlich hervor, dass Kunden auf aktiv un­ter­stütz­te Versionen setzen und Si­cher­heits­patches mit kri­ti­schen Patch-Updates zeitnah ein­spie­len sollten. Berichte darüber, dass über Schwach­stel­len in Systeme ein­ge­drun­gen wurde, nehmen leider stark zu. In den meisten Fällen wäre dies ver­meid­bar gewesen, da Oracle bereits Si­cher­heits­patches für diese Schwach­stel­len ver­öf­fent­licht hat, die Kunden die Patches aber nicht ein­ge­spielt haben.

Daher auch unser Appell: Werde jetzt aktiv und spiele die aktuellen Critical Patch Updates für deine Oracle Produkte ein! Im Folgenden haben wir die kri­tischs­ten CPUs für unsere Kunden zu­sam­men­ge­fasst. Du bist dir unsicher, ob der Patch für dich relevant ist? Sprich uns gern an. Wir un­ter­stüt­zen dich auch bei der Vor­be­rei­tung und Durch­füh­rung der Patches.

kai_lindner_modified_3

Kai
Projekt- und Service Delivery
Manager bei ASPICON

WebLogic Server

Das um­fang­reichs­te Patch­pa­ket wurde erneut für das Produkt Fusion Midd­le­wa­re be­reit­ge­stellt. Von den insgesamt 49 Si­cher­heits­patches sind 16 speziell für das Produkt WebLogic Server verfügbar. Laut Ri­si­ko­ma­trix besitzen die meisten behobenen Si­cher­heits­lü­cken einen Base Score von 7.5., was als hoch ein­zu­stu­fen ist. Weiterhin kann ein Angreifer diese Schwach­stel­len über einen Exploid ohne Au­then­ti­fi­zie­rung ausnutzen. Wir empfehlen dringend, die Patches für WebLogic einzuspielen.

Oracle MySQL Server

Das Critical Patch Update für Oracle MySQL enthält 34 neue Si­cher­heits­patches. Darunter können 11 dieser Schwach­stel­len ohne Au­then­ti­fi­zie­rung aus der Ferne aus­ge­nutzt werden. Kritische Schwach­stel­len gibt es in Summe zwei – hier ist der Base Score bei 9.8. und 8.1 gelistet. Eine Ein­spie­lung sollte dringend erfolgen.

Oracle Java SE

In diesem Patch­bund­le sind 8 Si­cher­heits­patches verfügbar. Bei 7 davon können po­ten­zi­el­le Angreifer remote und ohne Au­then­ti­fi­zie­rung die Schwach­stel­le ausnutzen. Der höchste Base Score liegt hier bei 7.4. Die rest­li­chen drei liegen im Mit­tel­feld zwischen 3.7. und 5.9.

Oracle Vir­tua­liza­ti­on

Dieses wichtige Patch-Update enthält 6 neue Si­cher­heits­patches sowie zu­sätz­li­che Patches von Dritt­an­bie­tern. Eine dieser Si­cher­heits­lü­cken kann ohne Au­then­ti­fi­zie­rung aus der Ferne aus­ge­nutzt werden und ist als kritisch ein­zu­stu­fen. Der höchste Base Score liegt bei 8.1.

Oracle Database Server

Für den Bereich Oracle Da­ten­bank­ser­ver in den Versionen 19C und 21C sind 5 kritische Si­cher­heits­patches verfügbar. Alle Patches haben einen mittleren Base Score im Bereich von 6.8. bis 4.3. Auch wenn die hier genannten Si­cher­heits­lü­cken nicht remote aus­ge­nutzt werden können, empfehlen wir die Ein­spie­lung vorzunehmen.

En­ter­pri­se Manager (Cloud Control)

Im Bereich En­ter­pri­se Manager Base Platform sind 4 Si­cher­heits­patches behoben. Das Produkt wird oft im Zu­sam­men­hang mit dem Cloud Control ein­ge­setzt. Der höchste Base Score beträgt 7.5. und ist damit auf der Skala bis 10 als hoch ein­zu­stu­fen. Bei einer der genannten Schwach­stel­len ist ein Zugriff ohne Au­then­ti­fi­zie­rung aus der Ferne möglich.

Die folgende Tabelle fasst noch einmal die wich­tigs­ten Punkte zusammen: 
Be­trof­fe­nes Produkt
Anzahl Patches
Remote aus­nutz­bar?
Höchster Base Score
Emp­feh­lung
WebLogic Server 
49 
ja 
7.5.
unbedingt einspielen 
Oracle MySQL Server 
34 
ja 
9.8.
unbedingt einspielen 
Oracle Java SE 
ja 
7.4.
einspielen 
Oracle Virtualization 
ja 
8.1.
unbedingt einspielen 
Oracle Database Server 
nein 
6.8.
einspielen 
En­ter­pri­se Manager (Cloud Control) 
ja 
7.5.
unbedingt einspielen 

Das gesamte Critical Patch Update Advisory von Oracle sowie Aus­füh­run­gen und In­for­ma­tio­nen zu allen vor­an­ge­gan­ge­nen und auch den aktuellen Security Alerts findest du unter folgendem Link:

» Hier geht’s zum Oracle Critical Patch Update Advisory

Fazit und Empfehlung 

Si­cher­heits­patches dienen einem es­sen­zi­el­len Zweck: Nämlich der lang­fris­ti­gen Auf­recht­erhal­tung und Si­cher­stel­lung der Ver­füg­bar­keit deiner IT-Umgebung. Solltest du fest­stel­len, dass eine oder mehrere der oben genannten Si­cher­heits­lü­cken ein von dir ein­ge­setz­tes Produkte betrifft, dann spiele den Patch unbedingt zeitnah ein.

Als unser Kunde hast du die Mög­lich­keit, dich auf unserer Patch­lis­te eintragen zu lassen. Dann in­for­mie­ren wir dich künftig immer recht­zei­tig vor den Terminen und finden gemeinsam mit dir einen Weg, um deine Systeme re­gel­mä­ßig auf den aktuellen Stand zu bringen – selbst­ver­ständ­lich unter Be­rück­sich­ti­gung deiner in­di­vi­du­el­len Rahmenbedingungen.

Patch-Hotline: +49.371.909515–100

Die nächsten vier Patch-Termine wurden von Oracle bereits bekannt gegeben und finden an folgenden Tagen statt:

  • 18. Juli 2023
  • 17. Oktober 2023
  • 16. Januar 2024
  • 16. April 2024

Hier findest du weitere Infos zu den ver­gan­ge­nen Patch Updates aus unserem News und Insights Bereich.

icon-arrow_right_medium-violet-blue.svg

Share this article

Facebook 
Twitter 
LinkedIn 
XING 
WhatsApp 
Email