News zu Servicewelten

Oracle Critical Patch Update Oktober 2022

Am 18. Oktober ist das vierte und letzte für 2022 geplante Critical Patch Update (CPU) er­schie­nen. Mit dem Patch sichert Oracle sein kom­plet­tes Produkt-Portfolio mit insgesamt 370 Updates ab. Einige der in diesem Si­cher­heits­up­date behobenen Schwach­stel­len betreffen mehrere Produkte. Um sich vor möglichen Angriffen zu schützen empfiehlt Oracle seinen Kunden dringend, Critical Patch Updates so schnell wie möglich zu installieren.

Die wich­tigs­ten CPUs für die re­le­van­tes­ten Pro­dukt­grup­pen unserer Kunden haben wir im Folgenden zusammengefasst:

Oracle Database Server

Für die Oracle Da­ten­bank­ser­ver in den Versionen 19C und 21C sind 8 Si­cher­heits­patches verfügbar. Deren höchste Base Score ist 7.2. Auch hier ist eine Schwach­stel­le gelistet, welche aus der Ferne und ohne Log­in­da­ten aus­ge­nutzt werden kann.

Oracle En­ter­pri­se Manager (Cloud Control)

Oracle hat im En­ter­pri­se Manager Base Platform 5 neue Si­cher­heits­lü­cken ge­schlos­sen. Das Produkt wird oft im Zu­sam­men­hang mit dem Cloud Control ein­ge­setzt. Der höchste Base Score beträgt hier 9.8. und ist damit auf der Skala von 1 bis 10 als kritisch einzustufen.

In 4 von den 5 genannten Schwach­stel­len ist ein Zugriff sogar aus der Ferne ohne Au­then­ti­fi­zie­rung möglich.

Oracle Weblogic Server

Das wohl um­fang­reichs­te Patch­pa­ket ist für das Produkt Fusion Midd­le­wa­re be­reit­ge­stellt worden. Von den insgesamt 56 Si­cher­heits­patches sind 7 speziell für das Produkt Weblogic Server verfügbar. Dabei sind 4 Schwach­stel­len behoben, über die ein Exploid ohne Au­then­ti­fi­zie­rung möglich ist.

Oracle Java SE

Im Bereich Java SE gibt es 9 neue ver­füg­ba­re Si­cher­heits­patches. Alle 9 Patches schließen Lücken, welche mög­li­cher­wei­se aus der Ferne und ohne Au­then­ti­fi­zie­rung aus­ge­nutzt werden können. Der höchste Base Score ist mit 9.1. gelistet und als “kritisch” ein­zu­stu­fen. Wir empfehlen in jedem Fall auch hier die Installation.

Das gesamte Critical Patch Update Advisory von Oracle sowie Aus­füh­run­gen und In­for­ma­tio­nen zu allen vor­an­ge­gan­ge­nen und auch den aktuellen Security Alerts findest du unter folgendem Link:

» Hier geht’s zum Oracle Critical Patch Update Advisory

Fazit und Empfehlung

Ja, es braucht Zeit, die Ein­spie­lung zu or­ga­ni­sie­ren, zu bud­ge­tie­ren und an­schlie­ßend zu planen. Auf der andere Seite braucht es im Falle einer Kom­pro­mit­tie­rung we­sent­lich mehr Zeit, Budget und Or­ga­ni­sa­ti­ons­auf­wand für die Wie­der­her­stel­lung der Systeme – von einem möglichen Image­scha­den ganz zu schweigen.

Gern un­ter­stüt­zen wir dich beim Ein­spie­len der Si­cher­heits­up­dates. Melde dich in dem Falle einfach bei uns oder lass dich in unsere Patch­lis­te eintragen. Dann in­for­mie­ren wir dich künftig immer recht­zei­tig zum Termin und finden gemeinsam mit dir eine passende Lösung, um deine Systeme re­gel­mä­ßig unter optimaler Auslotung der Ge­ge­ben­hei­ten und Ver­füg­bar­kei­ten zu patchen.

Die nächsten 4 Re­lease­ter­mi­ne für Patches wurden von Oracle übrigens bereits definiert und finden an folgenden Tagen statt:

  • 17. Januar 2023
  • 18. April 2023
  • 18. Juli 2023
  • 17. Oktober 2023

In dem Sinne: “Patche jetzt und schließe damit mögliche Si­cher­heits­lü­cken in deinen Oracle Produkten, bevor es mög­li­cher­wei­se zu spät ist!“

icon-arrow_right_medium-violet-blue.svg

Share this article

Facebook 
Twitter 
LinkedIn 
XING 
WhatsApp 
Email