Oracle Critical Patch Update Oktober 2021
Oracle Critical Patch Update
Am Dienstag, den 19.10.2021, hat Oracle das aktuelle Sicherheitsupdate für dieses Quartal veröffentlicht.
Dieses Critical Patch Update adressiert 419 Sicherheitslücken über zahlreiche Produkte und Versionen. Betroffen sind unter anderem die Datenbank, Fusion Middleware, MySQL und der Enterprise Manager.
274 der geschlossenen Lücken stammen aus Komponenten von Drittherstellern, hier wurden 165 Lücken als „High“ oder „Critical“ eingestuft.
Innerhalb der Datenbank sind 9 Lücken geschlossen worden. Davon sind 2 Lücken auch remote ohne Authentifizierung ausnutzbar. Betroffen sind alle Versionen von 12.1 bis 21c. Die reinen Client-Installationen sind von den Lücken nicht betroffen.
Die höchsten Bewertung im Datenbankumfeld hat eine Lücke für die Zero Downtime Migration to Cloud mit einem Wert von 8,2. Betroffen davon ist die Version 21c.
Innerhalb der Fusion Middleware, wozu auch der Weblogic Server gehört, werden 38 Lücken geschlossen, davon sind 30 von entfernten Rechnern ohne Authentifizierung auszunutzen. Der Höchstwert liegt hier bei 9,8. 3 Lücken sind mit diesem Wert eingestuft worden, 3 weitere mit einem Wert von 8,8. Keine davon betreffen den WLS Core.
Auch im Enterprise Manager wurden 8 Lücken geschlossen, 5 davon sind von entfernten Rechnern ohne Authentifizierung auszunutzen. Eine der Lücken ist mit einem Wert von 9,8 bewertet worden. Betroffen ist der Enterprise Manager in der Version 12.4.0.0.
In Java SE wurden 15 Schwachstellen geschlossen, von denen 13 ohne Authentifizierung auszunutzen sind.
In MySQL gibt es 66 geschlossene Lücken, 10 davon sind ohne Authentifizierung remote ausnutzbar, die höchste Einstufung ist hier 9.8 für 2 Lücken, die den MySQL Cluster und MySQL Server in allen Versionen bis einschließlich 8.0.26.
Aufgrund des Gefährdungspotenzials empfehlen wir, den aktuellen Sicherheitspatch einzuspielen, wenn die eingesetzte Produktversion betroffen ist. Voraussetzung ist die Freigabe dieses Patches durch den jeweiligen Applikationshersteller.
Insbesondere Systeme, die von außen zugänglich sind, typischerweise Apache/WebLogic Server, sollten auch immer auf dem aktuellen Stand gehalten werden. Uns sind Fälle bekannt, bei denen bekannte Lücken ausgenutzt wurden und mit den kompromittierten Systemen Crypto Mining betrieben wurde.
Für die Robotron-Energiemarkt-Plattform stehen Einspielung und Test des Oktober 2021 Updates noch aus.
Das nächste Security Update ist für den 18. Januar 2022 geplant.
Weitere Informationen erhalten Sie auch in der Veröffentlichung von Oracle.
Gerne unterstützen wir Sie bei der Planung und Durchführung der Updates!
Kommentare
Keine Kommentare