Oracle Critical Patch Update Januar 2025

Am Dienstag, den 21.01.2025, hat Oracle das aktuelle Sicherheitsupdate für dieses Quartal veröffentlicht.

Dieses Critical Patch Update adressiert 318 Sicherheitslücken über zahlreiche Produkte und Versionen. Betroffen sind unter anderem die Datenbank, Fusion Middleware, MySQL und der Enterprise Manager. 230 der geschlossenen Lücken stammen aus Komponenten von Drittherstellern, hier wurden 117 Lücken als „High“ oder „Critical“ eingestuft.

Innerhalb der Datenbank sind 5 Lücken geschlossen worden. Die davon am höchsten bewerteten Lücken betrifft das Oracle Graal Development Kit for Micronaut in den Versionen 23.5 und 23.6. Diese Lücke ist mit einem Score von 7,5 bewertet worden.

Innerhalb der Fusion Middleware, wozu auch der Weblogic Server gehört, werden 22 Lücken geschlossen, von denen 18 von entfernten Rechnern ohne Authentifizierung auszunutzen sind. 2 Schwachstellen weisen dabei den Höchstwert von 9,8 auf. Betroffen sind unter anderem der WebLogic Server Core und der HTTP Server.

Das Sicherheitsupdate beinhaltet dieses Mal auch einen Fix für eine Lücke in APEX. Diese ist mit 5,4 bewertet worden und betrifft der Versionen 23.2 und 24.1.

Auch im Enterprise Manager wurden 3 Lücken geschlossen, alle sind von entfernten Rechnern ohne Authentifizierung auszunutzen. Zwei Lücken haben einen Score von 7,5 und betreffen den Enterprise Manager for MySQL in ver Version 13.5.2.0.0 und die Base Plttform in der Version 13.5.0.0.0.

In Java SE wurden 2 Schwachstellen geschlossen, ein davon kann ohne Authentifizierung ausgenutzt werden. Der Höchstwert liegt bei 7,3 und betrifft die Installation.

In MySQL gibt es 39 geschlossene Lücken, die höchste Einstufung ist hier 9,1 für Schwachstellen im MySQL Backup und MySQL Server.

Aufgrund des Gefährdungspotenzials empfehlen wir, den aktuellen Sicherheitspatch einzuspielen, wenn die eingesetzte Produktversion betroffen ist. Voraussetzung ist die Freigabe dieses Patches durch den jeweiligen Applikationshersteller.

Insbesondere Systeme, die von außen zugänglich sind, typischerweise Apache/Weblogic Server, sollten auch immer auf dem aktuellen Stand gehalten werden. Uns sind Fälle bekannt, bei denen bekannte Lücken ausgenutzt wurden und mit den kompromittierten Systemen Crypto Mining betrieben wurde.

Für die Robotron-Energiemarkt-Plattform stehen Einspielung und Test des Januar 2025 Updates noch aus, hier ist derzeit das Juni 2024 Update für alle Plattformen freigegeben.

Das nächste Security Update wird am 15. April 2025 erscheinen.

Weitere Informationen erhalten Sie auch in der Veröffentlichung von Oracle.

Gerne unterstützen wir Sie bei der Planung und Durchführung der Updates!