Updates von Oracle: 378 Security-Patches aber nichts zum Einbruch in die Cloud
Im Rahmen des regelmäßigen Update-Zyklus liefert Oracle Patches satt für fast die gesamte Produktpalette, die die Kunden zügig installieren sollten.
(Bild: heise online)
Das aktuelle Critical Patch Update von Oracle bedeutet viel Arbeit für Admins: Ganze 378 Updates sind zu installieren, die meisten davon schließen Lücken, die sich ohne Anmeldung und aus der Ferne ausnutzen lassen; 162 Patches tragen einen CVSS von 7.0 oder höher, 42 sogar ≥ 9.0 (kritisch). Betroffen sind Datenbanken, Middleware, Cloud-Dienste und Kommunikationsanwendungen, von denen einige für globale Finanzinstitute, Telekommunikationsanbieter und Cloud-native Plattformen von zentraler Bedeutung sind.
Einen kompletten Überblick liefert das Oracle Critical Patch Update Advisory - April 2025. Darin betont der Hersteller auch, dass Berichten über erfolgreiche Angriffe zufolge "die Angreifer erfolgreich waren, weil die betroffenen Kunden es versäumt hatten, die verfügbaren Oracle-Patches anzuwenden". Ob Oracle das auch auf sich selbst und die offenbar erfolgreich kompromittierten Cloud-Server bezieht, bleibt leider offen. Zu diesen Vorfällen beschränkt Oracle die Kommunikation weiterhin auf irreführendes Kleinreden; unsere Nachfragen sind nach wie vor unbeantwortet. Das nächste Oracle CPU steht dann am 15. Juli an.
(ju)
