Oracle schützt Anwendungen mit 318 Sicherheitsupdates vor möglichen Attacken

Admins von Unternehmen mit Oracle-Anwendungen sollten die ab sofort verfügbaren Sicherheitsupdates zeitnah installieren. Geschieht das nicht, können Angreifer Systeme im schlimmsten Fall vollständig kompromittieren.

Angriffe können bevorstehen

In einer Meldung zu Oracles Quartalssammelupdate Critical Patch Update schreibt der Softwareentwickler, dass sie insgesamt 318 Sicherheitsupdates veröffentlicht haben. Um möglichen Attacken vorzubeugen, rät Oracle zu zügigen Updates. Bislang gibt es noch keine Berichte über bereits laufende Angriffe. Außerdem sollten Admins sicherstellen, dass auch die Updates aus vergangenen Quartalsupdates installiert sind.

Schaut man sich die in Oracles Warnhinweis aufgelisteten betroffenen Anwendungen an, ist der Großteil des Softwareportfolios verwundbar. Darunter fallen beispielsweise Agile Engineering Data Management, Cloud Native Core Automated Test Suite und Identitiy Manager.

Gefährliche Sicherheitslücken

Angreifer können unter anderem an einer "kritischen" Lücke (CVE-2024-37371) in der Kerberos-Komponente von Communications Billing and Revenue Management ansetzen. Attacken sollen aus der Ferne möglich sein. Was Angreifer nach einer erfolgreichen Attacke konkret anstellen können, geht aus der Beschreibung nicht hervor. Es liest sich so, als würde das zu Speicherfehlern führen, was in der Regel die Basis für die Ausführung von Schadcode ist.

Eine weitere "kritische" Schwachstelle (CVE-2023-46604) bedroht Communications Diameter Signaling Router. An dieser Stelle können entfernte Angreifer eigenen Code ausführen. Admins sollten Oracles Beitrag genau studieren, um die sie betreffenden Sicherheitsupdates ausfindig zu machen.

Das nächste Quartalsupdate plant Oracle für 15. April 2025. Gibt es zwischenzeitlich Attacken, veröffentlicht der Softwarehersteller in der Regel Notfall-Updates.

(des)