Oracle Critical Patch Update April 2022
Oracle Critical Patch Update
Am Dienstag, den 19.04.2022, hat Oracle das aktuelle Sicherheitsupdate für dieses Quartal veröffentlicht.
Dieses Critical Patch Update adressiert 520 Sicherheitslücken über zahlreiche Produkte und Versionen. Betroffen sind unter anderem die Datenbank, Fusion Middleware, MySQL und der Enterprise Manager. 415 der geschlossenen Lücken stammen aus Komponenten von Drittherstellern, hier wurden 182 Lücken als „High“ oder „Critical“ eingestuft.
Innerhalb der Datenbank sind 5 Lücken geschlossen worden. Keine der Lücken lässt sich remote ohne Authentifizierung ausnutzen. Den mit 7,2 höchsten Wert hat eine Lücke in der Sharding Option.
Innerhalb der Fusion Middleware, wozu auch der Weblogic Server gehört, werden 54 Lücken geschlossen, davon sind 41 von entfernten Rechnern ohne Authentifizierung auszunutzen. 13 Lücken weisen den Höchstwert von 9,8 auf. 10 davon beheben den CVE-2022-23305 in der Log4j-Komponente und die anderen drei Lücken betreffen Oracle Coherence, Oracle HTTP Server und Oracle JDeveloper.
Auch im Enterprise Manager wurden 10 Lücken geschlossen, 6 davon sind von entfernten Rechnern ohne Authentifizierung auszunutzen. Zwei der Lücken wurden mit einem Wert von 9,8 bewertet und betreffen die Application Testing Suite sowie Log4j.
In Java SE wurden 7 Schwachstellen geschlossen, die alle ohne Authentifizierung auszunutzen sind. Der Höchstwert liegt bei 7,5.
In MySQL gibt es 43 geschlossene Lücken, 9 davon sind ohne Authentifizierung remote ausnutzbar, die höchste Einstufung ist hier 9,8 für zwei Lücken im MySQL Enterprise Monitor bis einschließlich Version 8.0.29.
Aufgrund des Gefährdungspotenzials empfehlen wir, den aktuellen Sicherheitspatch einzuspielen, wenn die eingesetzte Produktversion betroffen ist. Voraussetzung ist die Freigabe dieses Patches durch den jeweiligen Applikationshersteller.
Insbesondere Systeme, die von außen zugänglich sind, typischerweise Apache/Weblogic Server, sollten auch immer auf dem aktuellen Stand gehalten werden. Uns sind Fälle bekannt, bei denen bekannte Lücken ausgenutzt wurden und mit den kompromittierten Systemen Crypto Mining betrieben wurde.
Für die Robotron-Energiemarkt-Plattform stehen Einspielung und Test des April 2022 Updates noch aus, hier ist derzeit das Oktober 2021 Update für Datenbanken auf Windows Plattformen bzw. das Update vom Juli 2021 für alle anderen Plattformen freigegeben.
Oracle ändert mit diesem Security Update den Zeitpunkt der Veröffentlichung. Zukünftige Updates werden nicht mehr am 17. Tag des am nächsten gelegenen Dienstag veröffentlicht, sondern immer am dritten Dienstag in den Monaten Januar, April, Juli und Oktober. Das Intervall ändert sich daher nicht. Dementsprechend wird das nächste Security Update am 19. Juli 2022 erscheinen.
Weitere Informationen erhalten Sie auch in der Veröffentlichung von Oracle.
Gerne unterstützen wir Sie bei der Planung und Durchführung der Updates!
Kommentare
Keine Kommentare