Oracle Critical Patch Update Oktober 2019

Am 15.10.2019 hat Oracle das aktuelle Sicherheitsupdate veröffentlicht. Dieses adressiert 219 Sicherheitslücken über zahlreiche Produkte und Versionen. Betroffen sind unter anderem die Datenbank, Fusion Middleware und der Enterprise Manager. Innerhalb der Datenbank sind 10 Lücken geschlossen worden. Die höchste Bewertung hat eine Lücke in der Java-VM mit einem Score von 6,8. Betroffen davon sind alle Versionen von 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c und 19c.

Innerhalb der Fusion Middleware, wozu der Weblogic Server aber auch Komponenten von Cloud Control gehören, werden 37 Lücken geschlossen, davon sind 31 von entfernten Rechnern ohne Authentifizierung auszunutzen. Der Höchstwert liegt hier bei 9,8. Zwei Lücken sind mit diesem Wert eingestuft worden, betroffen ist dabei auch Oracle JDeveloper und ADF.

Aufgrund des Gefährdungspotenzials empfehlen wir, den aktuellen Sicherheitspatch einzuspielen, wenn die eingesetzte Produktversion betroffen ist. Voraussetzung ist die Freigabe dieses Patches durch den jeweiligen Applikationshersteller.

Insbesondere Systeme, die von außen zugänglich sind, typischerweise Apache/WebLogic Server, sollten auch immer auf dem aktuellen Stand gehalten werden. Uns sind Fälle bekannt, bei denen bekannte Lücken ausgenutzt wurden und mit den kompromittierten Systemen Crypto Mining betrieben wurde.

Für die Robotron-Energiemarkt-Plattform stehen Einspielung und Test des Oktober-2019-Updates noch aus. Ebenso konnte die Freigabe des Juli-Updates noch nicht realisiert werden, da Oracle die Handhabung von Einzelpatches mit der Version 12.2 geändert hat. Viele der erforderlichen Einzelpatches müssen nun für jedes der vierteljährlichen Release Updates angepasst werden. Bis Release 12.1 waren diese Abhängigkeiten nicht so streng.

Das nächste Security Update ist für den 14. Januar 2020 geplant.

Weitere Informationen erhalten Sie in der Veröffentlichung von Oracle.

Gerne unterstützen wir Sie bei der Planung und Durchführung der Updates!