LOGO_ASPICON-white.svg
aspicon-logo-1024x169-gradient.png
logo-oracle-white.svg
Microsoft_SQL_Server_Logo_horizontal_white.svg
postgresql-logo_white_horiz.png
logo_red_hat_white3
suse-white-logo-green_large_white3
logo_windows_server2_white.png
aws_white2.png
logo_azure_white2
Oracle-Cloud-Logo_horizontal_white2.png
Docker-Logo-White-RGB_Horizontal.png
logo_helm_white.png
ansible-horiz_white.png
logo_fujitsu_white.png
logo_hpe_white.png
NetApp_logo_horizontal_white.png
News zu Servicewelten

Oracle Critical Patch Update Januar 2023

Das erste Crititcal Patch Update (CPU) für 2023 wurde am 18. Januar frei­ge­ge­ben. Insgesamt stehen für das komplette Produkt-Portfolio von Oracle 327 Updates zur Verfügung. Einige der in diesem kri­ti­schen Patch-Update behobenen Schwach­stel­len betreffen mehrere Produkte. Aufgrund einer möglichen Bedrohung durch po­ten­zi­el­le Angriffe empfiehlt Oracle seinen Kunden dringend, die Patches so schnell wie möglich zu installieren.

Die wich­tigs­ten CPUs für die re­le­van­tes­ten Pro­dukt­grup­pen unserer Kunden haben wir im Folgenden zusammengefasst.

WebLogic Server

Auch im Januar ist das um­fang­reichs­te Patch­pa­ket für das Produkt Fusion Midd­le­wa­re be­reit­ge­stellt worden. Von den insgesamt 50 Si­cher­heits­patches sind 10 speziell für das Produkt WebLogic Server verfügbar. Laut Ri­si­ko­ma­trix sind davon alle Lücken mit einem Base Score von 9.8. (kritisch) bzw. 7.5. aus­ge­zeich­net. Alle Schwach­stel­len können über einen Exploid ohne Au­then­ti­fi­zie­rung aus­ge­nutzt werden.

En­ter­pri­se Manager (Cloud Control)

Im Bereich En­ter­pri­se Manager Base Platform sind 3 Si­cher­heits­patches behoben. Das Produkt wird oft im Zu­sam­men­hang mit dem Cloud Control ein­ge­setzt. Der höchste Base Score beträgt 9.8. und ist damit auf der Skala bis 10 als kritisch ein­zu­stu­fen. Bei 2 von den 3 genannten Schwach­stel­len, ist ein Zugriff ohne Au­then­ti­fi­zie­rung aus der Ferne möglich. 

Oracle Database Server

Für den Bereich Oracle Da­ten­bank­ser­ver in den Versionen 19C und 21C sind 9 wichtige Si­cher­heits­patches verfügbar. Ein Patch trägt den höchsten Base Score von 7.5. Im Fall der Fälle kann ein Angreifer remote und damit ohne Au­then­ti­fi­zie­rung die Lücke ausnutzen. Die rest­li­chen ver­füg­ba­ren Patches haben einen mittleren Base Score im Bereich von 4.3. bis 6.5. Un­ab­hän­gig davon empfehlen wir die Ein­spie­lung unbedingt. 

Oracle Java SE

In diesem Bundle sind 4 Si­cher­heits­patches verfügbar. Alle 4 Lücken könnten durch po­ten­zi­el­le Angreifer remote und ohne Au­then­ti­fi­zie­rung aus­ge­nutzt werden. Der höchste Base Score liegt hier bei 8.1. – die rest­li­chen drei liegen im Mit­tel­feld zwischen 3.7. und 5.3.

Oracle MySQL Server

Dieses Critical Patch Update enthält 37 neue Si­cher­heits­patches für Oracle MySQL. Davon können 8 dieser Schwach­stel­len aus der Ferne über ein Netzwerk aus­ge­nutzt werden, ohne dass Be­nut­zer­an­mel­de­infor­ma­tio­nen er­for­der­lich sind. Kritische Schwach­stel­len gibt es in Summe 7 – hier ist der Base Score zwischen 7.8. und 9.8. gelistet. Die rest­li­chen reihen sich im Bereich 4.9. bis 7.5. ein. 

Oracle Vir­tua­liza­ti­on

Dieses wichtige Patch-Update enthält 6 neue Si­cher­heits­patches sowie zu­sätz­li­che Patches von Dritt­an­bie­tern. Eine dieser Si­cher­heits­lü­cken kann ohne Au­then­ti­fi­zie­rung aus der Ferne aus­ge­nutzt werden und ist als kritisch einzustufen. 

Das gesamte Critical Patch Update Advisory von Oracle sowie Aus­füh­run­gen und In­for­ma­tio­nen zu allen vor­an­ge­gan­ge­nen und auch den aktuellen Security Alerts findest du unter folgendem Link:

» Hier geht’s zum Oracle Critical Patch Update Advisory

Fazit und Empfehlung

In An­be­tracht der hohen Kom­pro­mit­tie­rungs­ge­fahr, die von un­ge­patch­ten Systemen ausgeht, sollten Si­cher­heits­up­dates möglichst re­gel­mä­ßig ein­ge­spielt werden.

Dir fehlt die Zeit und die Manpower? Gern un­ter­stüt­zen wir dich beim Ein­spie­len der Si­cher­heits­up­dates. Melde dich einfach bei uns oder lass dich in unsere Patch­lis­te eintragen. Dann in­for­mie­ren wir dich künftig immer recht­zei­tig zum Termin und finden gemeinsam mit dir einen Weg, um deine Systeme re­gel­mä­ßig auf den aktuellen Stand zu bringen – selbst­ver­ständ­lich unter Be­rück­sich­ti­gung deiner in­di­vi­du­el­len Rahmenbedingungen.

Die nächsten vier Patch-Termine wurden von Oracle bereits bekannt gegeben und finden an folgenden Tagen statt:

  • 18. April 2023
  • 18. Juli 2023
  • 17. Oktober 2023
  • 16. Januar 2024


In dem Sinne: Patche jetzt und schließe damit mögliche Si­cher­heits­lü­cken in deinen Oracle Produkten, bevor sich jemand unerlaubt Zugriff auf deine Systeme ver­schafft und es mög­li­cher­wei­se richtig teuer wird!

Patch-Hotline: +49.371.909515–100

icon-arrow_right_medium-violet-blue.svg

Share this article

Facebook 
Twitter 
LinkedIn 
XING 
WhatsApp 
Email