Oracle Critical Patch Update Januar 2026
Am Dienstag, den 20.01.2026, hat Oracle das aktuelle Sicherheitsupdate für dieses Quartal veröffentlicht.
Aufgrund des Gefährdungspotenzials empfehlen wir, den aktuellen Sicherheitspatch einzuspielen, wenn die eingesetzte Produktversion betroffen ist. Voraussetzung ist die Freigabe dieses Patches durch den jeweiligen Applikationshersteller.
Insbesondere Systeme, die von außen zugänglich sind, typischerweise Apache/Weblogic Server, sollten auch immer auf dem aktuellen Stand gehalten werden. Uns sind Fälle bekannt, bei denen bekannte Lücken ausgenutzt wurden und mit den kompromittierten Systemen Crypto Mining betrieben wurde.
Dieses Critical Patch Update adressiert 337 Sicherheitslücken über zahlreiche Produkte und Versionen. Betroffen sind unter anderem die Datenbank, Fusion Middleware, MySQL und der Enterprise Manager. 268 der geschlossenen Lücken stammen aus Komponenten von Drittherstellern, hier wurden 166 Lücken als „High“ oder „Critical“ eingestuft.
Innerhalb der Datenbank sind 7 Lücken geschlossen worden. Die davon am höchsten bewertete Lücke betrifft das Fleet Patching und Provisioning der Datenbank in den Versionen ab 23.4. Diese Lücke ist mit einem Score von 7,3 bewertet worden. Zwei der Lücken sind von entfernten Rechnern ohne Authentifizierung auszunutzen.
Innerhalb der Fusion Middleware, wozu auch der Weblogic Server gehört, werden 51 Lücken geschlossen, von denen 47 von entfernten Rechnern ohne Authentifizierung auszunutzen sind. 3 Schwachstellen weisen dabei den Höchstwert von 10,0 auf. Betroffen sind die Business Process Management Suite, der Oracle HTTP Server sowie die Oracle Middleware Common Libraries and Tools. 6 weitere Lücken haben einen Score von über 9.
Auch im Enterprise Manager wurden vier Lücken geschlossen, die alle von entfernten Rechnern ohne Authentifizierung auszunutzen sind. Diese Lücken haben einen Score zwischen 5,3 und 7,2 und betreffen die Base Platform und die Application Testing Suite in verschiedenen Versionen.
In Java SE wurden 11 Schwachstellen geschlossen, alle können ohne Authentifizierung ausgenutzt werden. Der Höchstwert liegt bei 7,5 und betrifft das JavaFX.
In MySQL gibt es 20 geschlossene Lücken, die höchste Einstufung ist hier 9,8 für eine Schwachstelle in MySQL Server Docker Images.
Für die Robotron-Energiemarkt-Plattform stehen Einspielung und Test des Oktober 2025 Updates noch aus, hier ist derzeit das April 2025 Update für Windows und Linux freigegeben.
Das nächste Security Update wird am 21. April 2026 erscheinen.
Weitere Informationen erhalten Sie auch in der Veröffentlichung von Oracle.
Gerne unterstützen wir Sie bei der Planung und Durchführung der Updates!
Kommentare
Keine Kommentare