Oracle Critical Patch Update Januar 2022
Oracle Critical Patch Update
Am Dienstag, den 18.01.2022, hat Oracle das aktuelle Sicherheitsupdate für dieses Quartal veröffentlicht.
Dieses Critical Patch Update adressiert 497 Sicherheitslücken über zahlreiche Produkte und Versionen. Betroffen sind unter anderem die Datenbank, Fusion Middleware, MySQL und der Enterprise Manager.
245 der geschlossenen Lücken stammen aus Komponenten von Drittherstellern, hier wurden 165 Lücken als „High“ oder „Critical“ eingestuft.
Dieses Update schließt auch die bekannten Log4j Lücken. Wird das Januar Update eingespielt, sind keine weiteren Maßnahmen für das jeweilige Oracle Produkt in Bezug auf CVE-2021-44228, CVE-2021-45046 und CVE-2021-45105 durchzuführen.
Innerhalb der Datenbank sind 4 Lücken geschlossen worden. Keine der Lücken lässt sich remote ohne Authentifizierung ausnutzen. Auch der Höchstwert ist mit 5,4 sehr gering.
Innerhalb der Fusion Middleware, wozu auch der Weblogic Server gehört, werden 39 Lücken geschlossen, davon sind 35 von entfernten Rechnern ohne Authentifizierung auszunutzen. Der Höchstwert liegt hier bei 9,8. 3 Lücken sind mit diesem Wert eingestuft worden von denen eine den WLS Core betrifft. Eine weitere Lücke wurde mit einem Wert von 9,0 bewertet und betrifft das OSSL Modul des HTTP-Servers, also die Implementierung der SSL-Verschlüsselung.
Weiterhin muss erwähnt werden, dass Oracle den Support-Zeitraum für die Fusion Middleware in der Version 12.2.1.3 um ein Jahr bis Ende 2022 verlängert hat. Den letzten CPU wird es somit jetzt im Oktober 2022 geben.
Auch im Enterprise Manager wurden 7 Lücken geschlossen, 6 davon sind von entfernten Rechnern ohne Authentifizierung auszunutzen. Eine der Lücken betrifft das Ops Center und wurde mit einem Wert von 9,8 bewertet. Betroffen ist hier nur der Enterprise Manager in der Version 12.4.0.0.
In Java SE wurden 18 Schwachstellen geschlossen, die alle ohne Authentifizierung auszunutzen sind.
In MySQL gibt es 78 geschlossene Lücken, 3 davon sind ohne Authentifizierung remote ausnutzbar, die höchste Einstufung ist hier 7,5 für eine Lücke im MySQL Server bis einschließlich Version 8.0.27.
Aufgrund des Gefährdungspotenzials empfehlen wir, den aktuellen Sicherheitspatch einzuspielen, wenn die eingesetzte Produktversion betroffen ist. Voraussetzung ist die Freigabe dieses Patches durch den jeweiligen Applikationshersteller.
Insbesondere Systeme, die von außen zugänglich sind, typischerweise Apache/Weblogic Server, sollten auch immer auf dem aktuellen Stand gehalten werden. Uns sind Fälle bekannt, bei denen bekannte Lücken ausgenutzt wurden und mit den kompromittierten Systemen Crypto Mining betrieben wurde.
Für die Robotron-Energiemarkt-Plattform stehen Einspielung und Test des Januar 2022 Updates noch aus, hier ist derzeit das Update vom Juli 2021 freigegeben.
Das nächste Security Update ist für den 19. April 2022 geplant.
Weitere Informationen erhalten Sie auch in der Veröffentlichung von Oracle.
Gerne unterstützen wir Sie bei der Planung und Durchführung der Updates!
Kommentare
Keine Kommentare