Oracle Critical Patch Update April 2019

Am 16. April 2019 hat Oracle das aktuelle Sicherheitsupdate veröffentlicht. Dieses adressiert 296 Sicherheitslücken über zahlreiche Produkte und Versionen. 136 dieser Lücken betreffen Produkte von Drittanbietern, die von Oracle verwendet werden. Betroffen sind unter anderem die Datenbank, Fusion Middleware und der Enterprise Manager. Innerhalb der Datenbank sind 6 Lücken geschlossen worden, eine davon im Datenbankkernel, die sich mit einer Anmeldung über das Netzwerk ausnutzen lässt und mit einem Score von 9,1 bewertet wurde. Betroffen davon sind die Versionen von 12.2.0.1 und 18c. Zwei weitere mit 8,2 bewertete Lücken betreffen die Clusterware in den Version 11.2.0.4 bis 18c.

Innerhalb der Fusion Middleware werden 53 Lücken geschlossen, davon sind 42 von entfernten Rechnern ohne Authentifizierung auszunutzen, der Höchstwert liegt hier bei 9,8. 14 Lücken sind so eingestuft worden und betreffen verschiedene Komponenten, unter anderem den WebLogic Server.

Aufgrund des hohen Gefährdungspotenzials empfehlen wir den aktuellen Sicherheitspatch einzuspielen, wenn die eingesetzte Produktversion betroffen ist. Voraussetzung ist die Freigabe dieses Patches durch den jeweiligen Applikationshersteller.

Insbesondere Systeme, die von außen zugänglich sind, typischerweise Apache/WebLogic Server, sollten immer auf dem aktuellen Stand gehalten werden. Uns sind Fälle bekannt, wo bekannte Lücken ausgenutzt wurden und mit den kompromittierten Systemen Crypto Mining betrieben wurde.

Für die Robotron-Energiemarkt-Suite stehen Einspielung und Test des April 2019 Updates noch aus.

Das nächste Oracle Security Update ist für den 16.07.2019 geplant.

Weitere Informationen erhalten Sie in der Veröffentlichung von Oracle.