LOGO_ASPICON-white.svg
aspicon-logo-1024x169-gradient.png
logo-oracle-white.svg
Microsoft_SQL_Server_Logo_horizontal_white.svg
postgresql-logo_white_horiz.png
logo_red_hat_white3
suse-white-logo-green_large_white3
logo_windows_server2_white.png
aws_white2.png
logo_azure_white2
Oracle-Cloud-Logo_horizontal_white2.png
Docker-Logo-White-RGB_Horizontal.png
logo_helm_white.png
ansible-horiz_white.png
logo_fujitsu_white.png
logo_hpe_white.png
NetApp_logo_horizontal_white.png
News zu Servicewelten

Erster Oracle Quar­tals­patch für 2024 verfügbar: Jetzt einspielen!

Das Ein­spie­len aktueller Si­cher­heits­up­dates ist un­ver­zicht­bar, um die Wi­der­stands­fä­hig­keit und Si­cher­heit deiner IT-In­fra­struk­tur zu ge­währ­leis­ten. Im Januar hat Oracle das jüngste Critical Patch Update (CPU) ver­öf­fent­licht, das erneut zahl­rei­che Si­cher­heits­lü­cken in Oracle Produkten schließt.

Die Bedeutung von re­gel­mä­ßi­gem Patchen kann nicht genug betont werden. Hacker und Cy­ber­kri­mi­nel­le ent­wi­ckeln fort­lau­fend neue Methoden, um Schwach­stel­len in Systemen aus­zu­nut­zen und Zugriff auf ver­trau­li­che Daten zu erlangen. Ohne aktuelle Patches sind deine Systeme anfällig für Angriffe, die zu Da­ten­ver­lust, un­be­fug­tem Zugriff und er­heb­li­chen fi­nan­zi­el­len Schäden führen können.

Oracle stellt derzeit insgesamt 389 Updates für das gesamte Pro­dukt­port­fo­lio bereit. Einige der behobenen Schwach­stel­len in diesem kri­ti­schen Patch Update betreffen mehrere Produkte.

Im Folgenden haben wir die kri­tischs­ten Patches für unsere Kunden zu­sam­men­ge­fasst. Bist du unsicher, ob ein Patch für dich relevant ist? Zögere nicht, uns anzurufen. Wir stehen dir gerne zur Seite, sowohl bei der Be­ur­tei­lung der Relevanz als auch bei der Vor­be­rei­tung und Durch­füh­rung der Patches.

Kai Lindner, Projekt- und Service Manager bei ASPICON

Kai
Projekt- und Service Delivery
Manager bei ASPICON

Tel: +49.371.909515–100

Oracle MySQL Server

Insgesamt 40 neue Si­cher­heits­patches hätl Oracle für den MySQL Server zur In­stal­la­ti­on bereit. 12 davon können ohne Au­then­ti­fi­zie­rung aus der Ferne aus­ge­nutzt werden. Insgesamt bewegt sich der Base Score bei den behoben Schwach­stel­len zwischen 4.4. und 9.8. Eine Ein­spie­lung sollte dringend erfolgen.

WebLogic Server

Als in­te­gra­ler Be­stand­teil der Fusion Midd­le­wa­re sind insgesamt 39 Si­cher­heits­lü­cken für den Weblogic Server bereinigt worden. Zur Ein­schät­zung: Alle be­rei­nig­ten Lücken bewegen sich im Base Score von 4.3. bis 9.8. (kritisch). Es ist wichtig zu betonen, dass 29 dieser Schwach­stel­len ohne Au­then­ti­fi­zie­rung aus­ge­nutzt werden können. Wir empfehlen daher dringend, die Patches für WebLogic / Fussion Midd­le­wa­re einzuspielen.

Oracle Java SE

In diesem Patch­bund­le sind 13 Si­cher­heits­patches sowie zu­sätz­li­che Patches von Dritt­an­bie­tern verfügbar. Bei 11 der behoben Schwach­stel­len kann es gelingen, diese remote und ohne Au­then­ti­fi­zie­rung aus­zu­nut­zen. Der höchste Base Score liegt hier bei 7.5. Die rest­li­chen liegen im Mit­tel­feld zwischen 2.5. und 7.4.

En­ter­pri­se Manager (Cloud Control)

Dieses kritische Patch-Update für den Oracle En­ter­pri­se Manager enthält 12 Si­cher­heits­patches. Bei 11 davon kann ein po­ten­ti­el­ler Angreifer ohne Au­then­ti­fi­zie­rung über ein Netzwerk aus der Ferne diese Schwach­stel­len ausnutzen. Alle erkannten und behobenen Schwach­stel­len bewegen sich im Base Score zwischen 5.3. und 8.3. und sind daher als kritisch eingestuft.

Oracle Database Server

Der Bereich Da­ten­ban­ken kommt in dem aktuellen Patch mit nur 3 behoben Si­cher­heits­lü­cken recht gut weg. Alle drei behobenen Schwach­stel­len sind für 19c, 21c sowie 23c verfügbar. Sie haben einen mittleren Base Score im Bereich von 2.7. bis 6.5 und können nicht remote und ohne Au­then­ti­fi­zie­rung aus­ge­nutzt werden. Un­ab­hän­gig davon empfehlen wir dennoch, die Ein­spie­lung vorzunehmen.

Die folgende Tabelle fasst noch einmal die wich­tigs­ten Punkte zusammen: 
Be­trof­fe­nes Produkt
Anzahl Patches
Remote aus­nutz­bar?
Höchster Base Score
Oracle MySQL Server 
40 
ja (12)
9.8
WebLogic Server 
39 
ja (29)
9.8
Oracle Java SE 
13 
ja (11)
7.5
En­ter­pri­se Manager (Cloud Control) 
12 
ja (11)
8.3
Oracle Database Server 
nein 
6.5

Das gesamte Critical Patch Update Advisory von Oracle sowie Aus­füh­run­gen und In­for­ma­tio­nen zu allen vor­an­ge­gan­ge­nen und auch den aktuellen Security Alerts findest du unter folgendem Link:

» Hier geht’s zum Oracle Critical Patch Update Advisory

Die nächsten vier Patch-Termine wurden von Oracle bereits bekannt gegeben und finden an folgenden Tagen statt:

  • 16. April 2024
  • 16. Juli 2024
  • 15. Oktober 2024
  • 21. Januar 2025

Fazit und Empfehlung 

Durch re­gel­mä­ßi­ge In­stal­la­ti­on von Si­cher­heits­patches können po­ten­zi­el­le An­griffs­vek­to­ren minimiert und das Risiko von Da­ten­ver­lust, un­be­fug­tem Zugriff und anderen Si­cher­heits­be­dro­hun­gen reduziert werden. Ohne re­gel­mä­ßi­ges Patchen sind Systeme anfällig für Angriffe, was zu er­heb­li­chen Schäden führen kann – sowohl für in­di­vi­du­el­le Benutzer als auch für Un­ter­neh­men. Solltest du also fest­stel­len, dass eine oder mehrere der oben genannten Si­cher­heits­lü­cken ein von dir ein­ge­setz­tes Produkte betrifft, dann spiele den Patch unbedingt zeitnah ein.

Als unser Kunde hast du die Mög­lich­keit, dich auf unserer Patch­lis­te eintragen zu lassen. Dann in­for­mie­ren wir dich künftig immer recht­zei­tig vor den Terminen und finden gemeinsam mit dir einen Weg, um deine Systeme re­gel­mä­ßig auf den aktuellen Stand zu bringen – selbst­ver­ständ­lich unter Be­rück­sich­ti­gung deiner in­di­vi­du­el­len Rahmenbedingungen.

Hier findest du Infos zu den ver­gan­ge­nen Patch Updates und weitere nützliche Hinweise zum Thema Patchen im All­ge­mei­nen aus unserem News und Insights Bereich.

icon-arrow_right_medium-violet-blue.svg

Share this article

Facebook 
Twitter 
LinkedIn 
XING 
WhatsApp 
Email