Oracle Critical Patch Update Januar 2024

Am Dienstag, den 16.01.2024, hat Oracle das aktuelle Sicherheitsupdate für dieses Quartal veröffentlicht.

Dieses Critical Patch Update adressiert 389 Sicherheitslücken über zahlreiche Produkte und Versionen. Betroffen sind unter anderem die Datenbank, Fusion Middleware, MySQL und der Enterprise Manager. 297 der geschlossenen Lücken stammen aus Komponenten von Drittherstellern, hier wurden 214 Lücken als „High“ oder „Critical“ eingestuft.

Innerhalb der Datenbank sind 3 Lücken geschlossen worden. Die davon am höchsten bewerteten Lücken betreffen Oracle Spatial and Graph als auch die JavaVM in den Versionen 19.3 - 19.21 und 21.3 - 21.12 sowie 23.3 für die JavaVM. Diese sind mit einem Score von 6,5 bewertet worden.

Innerhalb der Fusion Middleware, wozu auch der Weblogic Server gehört, werden 39 Lücken geschlossen, von denen 29 von entfernten Rechnern ohne Authentifizierung auszunutzen sind. 3 Schwachstellen weisen dabei den Höchstwert von 9,8 auf. Betroffen sind unter anderem der HTTP Server und die SOA Suite.

Auch im Enterprise Manager wurden 12 Lücken geschlossen, die bis auf eine alle von entfernten Rechnern ohne Authentifizierung auszunutzen sind. Betroffen ist hier hauptsächlich die Version 13.5.0.0.

In Java SE wurden 13 Schwachstellen geschlossen, von denen lediglich zwei nicht ohne Authentifizierung auszunutzen sind. Der Höchstwert liegt bei 7,5.

In MySQL gibt es 40 geschlossene Lücken, die höchste Einstufung ist hier 9,8 für zwei Schwachstellen im MySQL Monitoring sowie MySQL Cluster.

Aufgrund des Gefährdungspotenzials empfehlen wir, den aktuellen Sicherheitspatch einzuspielen, wenn die eingesetzte Produktversion betroffen ist. Voraussetzung ist die Freigabe dieses Patches durch den jeweiligen Applikationshersteller.

Insbesondere Systeme, die von außen zugänglich sind, typischerweise Apache/Weblogic Server, sollten auch immer auf dem aktuellen Stand gehalten werden. Uns sind Fälle bekannt, bei denen bekannte Lücken ausgenutzt wurden und mit den kompromittierten Systemen Crypto Mining betrieben wurde.

Der CPU wird für die Forms/Reports-Installation der Fusion Middleware Version 12.2.1.4 erst vollständig im Februar zur Verfügung stehen, da Oracle den OHS Bundle Patch (Oracle HTTP-Server) zum Ende Januar 2024 angekündigt hat. Die Forms/Reports-Version 12.2.1.19 umfasst bereits alle notwendigen Patches.

Für die Robotron-Energiemarkt-Plattform stehen Einspielung und Test des Januar 2024 Updates noch aus, hier ist derzeit das April 2023 Update für alle Plattformen freigegeben.

Das nächste Security Update wird am 16. April 2024 erscheinen.

Weitere Informationen erhalten Sie auch in der Veröffentlichung von Oracle.

Gerne unterstützen wir Sie bei der Planung und Durchführung der Updates!