News zu Servicewelten

Home → Servicewelten → Oracle Critical Patch Update April 2023: Werde jetzt aktiv!

Oracle Critical Patch Update April 2023: Werde jetzt aktiv!

Verfasst von The hidden DBA
24 April 2023
09:53
Critical Patch Update, Fusion Middleware, Java, MySQL, Oracle, Oracle Database, Oracle Datenbank 12c /18c /19c /21c, Oracle Enterprise Manager, Oracle WebLogic Server, Security

Es ist schon wieder so weit. Am 18. April wurde der zweite von insgesamt vier Quartalspatches für Oracle Produkte veröffentlicht. Insgesamt stehen für das komplette Produkt-Portfolio von Oracle 433 Updates zur Verfügung. Einige der in diesem kritischen Patch-Update behobenen Schwachstellen betreffen mehrere Produkte.

Oracle hebt in der Updateempfehlung deutlich hervor, dass Kunden auf aktiv unterstützte Versionen setzen und Sicherheitspatches mit kritischen Patch-Updates zeitnah einspielen sollten. Berichte darüber, dass über Schwachstellen in Systeme eingedrungen wurde, nehmen leider stark zu. In den meisten Fällen wäre dies vermeidbar gewesen, da Oracle bereits Sicherheitspatches für diese Schwachstellen veröffentlicht hat, die Kunden die Patches aber nicht eingespielt haben.

Daher auch unser Appell: Werde jetzt aktiv und spiele die aktuellen Critical Patch Updates für deine Oracle Produkte ein! Im Folgenden haben wir die kritischsten CPUs für unsere Kunden zusammengefasst. Du bist dir unsicher, ob der Patch für dich relevant ist? Ruf uns gern an. Wir unterstützen dich auch bei der Vorbereitung und Durchführung der Patches.

Kai
Projekt- und Service Delivery
Manager bei ASPICON

WebLogic Server

Das umfangreichste Patchpaket wurde erneut für das Produkt Fusion Middleware bereitgestellt. Von den insgesamt 49 Sicherheitspatches sind 16 speziell für das Produkt WebLogic Server verfügbar. Laut Risikomatrix besitzen die meisten behobenen Sicherheitslücken einen Base Score von 7.5., was als hoch einzustufen ist. Weiterhin kann ein Angreifer diese Schwachstellen über einen Exploid ohne Authentifizierung ausnutzen. Wir empfehlen dringend, die Patches für WebLogic einzuspielen.

Oracle MySQL Server

Das Critical Patch Update für Oracle MySQL enthält 34 neue Sicherheitspatches. Darunter können 11 dieser Schwachstellen ohne Authentifizierung aus der Ferne ausgenutzt werden. Kritische Schwachstellen gibt es in Summe zwei – hier ist der Base Score bei 9.8. und 8.1 gelistet. Eine Einspielung sollte dringend erfolgen.

Oracle Java SE

In diesem Patchbundle sind 8 Sicherheitspatches verfügbar. Bei 7 davon können potenzielle Angreifer remote und ohne Authentifizierung die Schwachstelle ausnutzen. Der höchste Base Score liegt hier bei 7.4. Die restlichen drei liegen im Mittelfeld zwischen 3.7. und 5.9.

Oracle Virtualization

Dieses wichtige Patch-Update enthält 6 neue Sicherheitspatches sowie zusätzliche Patches von Drittanbietern. Eine dieser Sicherheitslücken kann ohne Authentifizierung aus der Ferne ausgenutzt werden und ist als kritisch einzustufen. Der höchste Base Score liegt bei 8.1.

Oracle Database Server

Für den Bereich Oracle Datenbankserver in den Versionen 19C und 21C sind 5 kritische Sicherheitspatches verfügbar. Alle Patches haben einen mittleren Base Score im Bereich von 6.8. bis 4.3. Auch wenn die hier genannten Sicherheitslücken nicht remote ausgenutzt werden können, empfehlen wir die Einspielung vorzunehmen.

Enterprise Manager (Cloud Control)

Im Bereich Enterprise Manager Base Platform sind 4 Sicherheitspatches behoben. Das Produkt wird oft im Zusammenhang mit dem Cloud Control eingesetzt. Der höchste Base Score beträgt 7.5. und ist damit auf der Skala bis 10 als hoch einzustufen. Bei einer der genannten Schwachstellen ist ein Zugriff ohne Authentifizierung aus der Ferne möglich.

Die folgende Tabelle fasst noch einmal die wichtigsten Punkte zusammen:

Betroffenes Produkt	Anzahl Patches	Remote ausnutzbar?	Höchster Base Score	Empfehlung
Betroffenes Produkt WebLogic Server	Anzahl Patches 49	Remote ausnutzbar? ja	Höchster Base Score 7.5.	Empfehlung unbedingt einspielen
Betroffenes Produkt Oracle MySQL Server	Anzahl Patches 34	Remote ausnutzbar? ja	Höchster Base Score 9.8.	Empfehlung unbedingt einspielen
Betroffenes Produkt Oracle Java SE	Anzahl Patches 8	Remote ausnutzbar? ja	Höchster Base Score 7.4.	Empfehlung einspielen
Betroffenes Produkt Oracle Virtualization	Anzahl Patches 6	Remote ausnutzbar? ja	Höchster Base Score 8.1.	Empfehlung unbedingt einspielen
Betroffenes Produkt Oracle Database Server	Anzahl Patches 5	Remote ausnutzbar? nein	Höchster Base Score 6.8.	Empfehlung einspielen
Betroffenes Produkt Enterprise Manager (Cloud Control)	Anzahl Patches 4	Remote ausnutzbar? ja	Höchster Base Score 7.5.	Empfehlung unbedingt einspielen

Das gesamte Critical Patch Update Advisory von Oracle sowie Ausführungen und Informationen zu allen vorangegangenen und auch den aktuellen Security Alerts findest du unter folgendem Link:

» Hier geht’s zum Oracle Critical Patch Update Advisory

Fazit und Empfehlung

Sicherheitspatches dienen einem essenziellen Zweck: Nämlich der langfristigen Aufrechterhaltung und Sicherstellung der Verfügbarkeit deiner IT-Umgebung. Solltest du feststellen, dass eine oder mehrere der oben genannten Sicherheitslücken ein von dir eingesetztes Produkte betrifft, dann spiele den Patch unbedingt zeitnah ein.

Als unser Kunde hast du die Möglichkeit, dich auf unserer Patchliste eintragen zu lassen. Dann informieren wir dich künftig immer rechtzeitig vor den Terminen und finden gemeinsam mit dir einen Weg, um deine Systeme regelmäßig auf den aktuellen Stand zu bringen – selbstverständlich unter Berücksichtigung deiner individuellen Rahmenbedingungen.

Patch-Hotline: +49.371.909515–100

Die nächsten vier Patch-Termine wurden von Oracle bereits bekannt gegeben und finden an folgenden Tagen statt:

18. Juli 2023
17. Oktober 2023
16. Januar 2024
16. April 2024

Hier findest du weitere Infos zu den vergangenen Patch Updates aus unserem News und Insights Bereich.

Share this article