Oracle schließt 309 Sicherheitslücken mit Juli-Update 2025

Oracle hat im Rahmen seines regelmäßigen Critical Patch Update für Juli 2025 insgesamt 309 Sicherheitslücken in verschiedenen Produkten behoben. Das vierteljährliche Sicherheitsupdate zählt zu den umfangreichsten der vergangenen Jahre. Es betrifft zahlreiche Unternehmenslösungen und erfordert zeitnahes Handeln in IT-Abteilungen weltweit.

Das Update erstreckt sich über das gesamte Technologiespektrum des Konzerns – von Datenbanken über Middleware bis hin zu Cloud-Anwendungen. Besonders betroffen sind unter anderem Oracle Database Server, MySQL Server, WebLogic Server und Java SE. Auch branchenspezifische Lösungen wie Oracle Communications, Anwendungen für den Finanzsektor und Einzelhandelsplattformen sind Teil des Updates.

Die Schwachstellen betreffen verschiedene Produktgenerationen, darunter auch ältere Softwareversionen, die seit Jahren im Einsatz sind.

Ein Critical Patch Update ist eine Sammlung von Patches für mehrere Sicherheitslücken. Diese Patches beheben Schwachstellen im Oracle-Code und in Komponenten von Drittanbietern, die in Oracle-Produkten enthalten sind. Diese Patches sind in der Regel kumulativ, aber jede Sicherheitsempfehlung beschreibt nur die Sicherheitspatches, die seit der letzten Critical Patch Update-Empfehlung hinzugefügt wurden. Daher sollten frühere Critical Patch Update-Empfehlungen auf Informationen zu zuvor veröffentlichten Sicherheitspatches überprüft werden. Informationen zu Oracle-Sicherheitsempfehlungen finden Sie unter „Critical Patch Updates, Sicherheitswarnungen und Bulletins”.

Oracle erhält weiterhin regelmäßig Berichte über Versuche, Schwachstellen, für die Oracle bereits Sicherheitspatches veröffentlicht hat, böswillig auszunutzen. In einigen Fällen wurde berichtet, dass Angreifer erfolgreich waren, weil die betroffenen Kunden die verfügbaren Oracle-Patches nicht installiert hatten. Oracle empfiehlt daher dringend, dass Kunden weiterhin aktiv unterstützte Versionen verwenden und Critical Patch Update-Sicherheitspatches unverzüglich installieren.

Affected Products and Versions	Patch Availability Document
Autonomous Health Framework, versions 24.11.0-25.4.0	Oracle Autonomous Health Framework
JD Edwards EnterpriseOne Tools, versions 9.2.0.0-9.2.9.3	JD Edwards
JD Edwards World Security, version A9.4	JD Edwards
MySQL Client, versions 8.0.0-8.0.42, 8.4.0-8.4.5, 9.0.0-9.3.0	MySQL
MySQL Cluster, versions 7.6.0-7.6.34, 8.0.0-8.0.42, 8.4.0-8.4.5, 9.0.0-9.3.0	MySQL
MySQL Enterprise Backup, versions 8.0.0-8.0.42, 8.4.0-8.4.5, 9.0.0-9.3.0	MySQL
MySQL Server, versions 8.0.0-8.0.42, 8.4.0-8.4.5, 9.0.0-9.3.0	MySQL
MySQL Workbench, versions 8.0.0-8.0.42	MySQL
Oracle Agile Engineering Data Management, version 6.2.1	Oracle Supply Chain Products
Oracle Agile PLM, version 9.3.6	Oracle Supply Chain Products
Oracle Application Express, versions 24.2.4, 24.2.5	Database
Oracle Application Testing Suite, version 13.3.0.1	Oracle Enterprise Manager
Oracle AutoVue, versions 21.0.2, 21.1.0	Oracle Supply Chain Products
Oracle Banking Origination, versions 14.4.0.0.0-14.7.0.0.0	Contact Support
Oracle BI Publisher, versions 7.6.0.0.0, 8.2.0.0.0, 12.2.1.4.0	Oracle Analytics
Oracle Blockchain Platform, versions 21.4.3, 24.1.3	Oracle Blockchain Platform
Oracle Business Intelligence Enterprise Edition, versions 7.6.0.0.0, 8.2.0.0.0, 12.2.1.4.0	Oracle Analytics
Oracle Business Process Management Suite, versions 12.2.1.4.0, 14.1.2.0.0	Fusion Middleware
Oracle Coherence, versions 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0	Fusion Middleware
Oracle Commerce Guided Search, version 11.4.0	Oracle Commerce
Oracle Commerce Guided Search Platform Services, version 11.4.0	Oracle Commerce
Oracle Communications Billing and Revenue Management, versions 12.0.0.4.0-12.0.0.8.0, 15.0.0.0.0, 15.0.1.0.0, 15.1.0.0.0	Oracle Communications Billing and Revenue Management
Oracle Communications BRM – Elastic Charging Engine, versions 12.0.0.4-12.0.0.8, 15.0.0.0, 15.0.1.0, 15.1.0.0	Oracle Communications BRM – Elastic Charging Engine
Oracle Communications Calendar Server, version 8.0.0.8.0	Oracle Communications Calendar Server
Oracle Communications Cloud Native Core Automated Test Suite, version 24.2.4	Oracle Communications Cloud Native Core Automated Test Suite
Oracle Communications Cloud Native Core Binding Support Function, versions 24.2.0-24.2.3	Oracle Communications Cloud Native Core Binding Support Function
Oracle Communications Cloud Native Core Console, version 24.2.4	Oracle Communications Cloud Native Core Console
Oracle Communications Cloud Native Core DBTier, versions 24.2.5, 24.3.0, 25.1.100	Oracle Communications Cloud Native Core DBTier
Oracle Communications Cloud Native Core Network Data Analytics Function, versions 22.4.0, 23.1.0, 23.4.3	Oracle Communications Cloud Native Core Network Data Analytics Function
Oracle Communications Cloud Native Core Network Exposure Function, version 24.2.0	Oracle Communications Cloud Native Core Network Exposure Function
Oracle Communications Cloud Native Core Network Function Cloud Native Environment, version 25.1.100	Oracle Communications Cloud Native Core Network Function Cloud Native Environment
Oracle Communications Cloud Native Core Network Repository Function, version 24.2.4	Oracle Communications Cloud Native Core Network Repository Function
Oracle Communications Cloud Native Core Network Slice Selection Function, version 24.3.1	Oracle Communications Cloud Native Core Network Slice Selection Function
Oracle Communications Cloud Native Core Policy, versions 24.2.0-24.2.6	Oracle Communications Cloud Native Core Policy
Oracle Communications Cloud Native Core Security Edge Protection Proxy, versions 24.2.4, 25.1.100, 25.1.101	Oracle Communications Cloud Native Core Security Edge Protection Proxy
Oracle Communications Cloud Native Core Service Communication Proxy, versions 24.2.0, 25.1.100	Oracle Communications Cloud Native Core Service Communication Proxy
Oracle Communications Contacts Server, version 8.0.0.9.0	Oracle Communications Contacts Server
Oracle Communications Convergence, versions 3.0.3.3.0, 3.0.3.4.0	Oracle Communications Convergence
Oracle Communications Convergent Charging Controller, versions 12.0.3.0.0-12.0.6.0.0, 15.0.0.0.0-15.0.1.0.0, 15.1.0.0.0	Oracle Communications Convergent Charging Controller
Oracle Communications Core Session Manager, version 9.1.5	Oracle Communications Core Session Manager
Oracle Communications Element Manager, versions 9.0.0-9.0.4	Oracle Communications Element Manager
Oracle Communications IP Service Activator, versions 7.4.0, 7.5.0	Oracle Communications IP Service Activator
Oracle Communications MetaSolv Solution, version 6.3.1	Oracle Communications MetaSolv Solution
Oracle Communications Network Analytics Data Director, versions 24.2.0, 24.3.0, 25.1.100	Oracle Communications Network Analytics Data Director
Oracle Communications Network Charging and Control, versions 12.0.3.0.0-12.0.6.0.0, 15.0.0.0.0-15.0.1.0.0, 15.1.0.0.0	Oracle Communications Network Charging and Control
Oracle Communications Network Integrity, versions 7.3.6, 7.4.0, 7.5.0	Oracle Communications Network Integrity
Oracle Communications Offline Mediation Controller, versions 12.0.0.2-12.0.0.8, 15.0.0.0-15.0.1.0	Oracle Communications Offline Mediation Controller
Oracle Communications Operations Monitor, versions 5.1, 5.2	Oracle Communications Operations Monitor
Oracle Communications Order and Service Management, versions 7.4.0, 7.4.1, 7.5.0	Oracle Communications Order and Service Management
Oracle Communications Policy Management, version 15.0.0.0	Oracle Communications Policy Management
Oracle Communications Session Border Controller, versions 9.2.0, 9.3.0, 10.0.0	Oracle Communications Session Border Controller
Oracle Communications Session Report Manager, versions 9.0.0-9.0.4	Oracle Communications Session Report Manager
Oracle Communications Unified Assurance, versions 6.0.5-6.1.0	Oracle Communications Unified Assurance
Oracle Communications Unified Inventory Management, versions 7.4.0-7.4.2, 7.5.0, 7.5.1, 7.6.0-7.8.0	Oracle Communications Unified Inventory Management
Oracle Communications User Data Repository, version 15.0.3	Oracle Communications User Data Repository
Oracle Data Integrator, versions 12.2.1.4.0, 14.1.2.0.0	Fusion Middleware
Oracle Database Server, versions 19.3-19.27, 21.3-21.18, 23.4-23.8	Database
Oracle E-Business Suite, versions 12.2.3-12.2.14	Oracle E-Business Suite
Oracle Enterprise Communications Broker, versions 4.1.0, 4.2.0, 5.0.0	Oracle Enterprise Communications Broker
Oracle Enterprise Data Quality, versions 12.2.1.4.0, 14.1.2.0.0	Fusion Middleware
Oracle Essbase, version 21.7.2.0.0	Database
Oracle Financial Services Analytical Applications Infrastructure, versions 8.0.7.8, 8.0.8.5, 8.0.8.6, 8.1.1.4, 8.1.2.5	Oracle Financial Services Analytical Applications Infrastructure
Oracle Financial Services Behavior Detection Platform, versions 8.0.8.1, 8.1.2.8, 8.1.2.9	Oracle Financial Services Behavior Detection Platform
Oracle Financial Services Model Management and Governance, version 8.1.2.7	Oracle Financial Services Model Management and Governance
Oracle Financial Services Trade-Based Anti Money Laundering Enterprise Edition, version 8.0.8	Oracle Financial Services Trade-Based Anti Money Laundering Enterprise Edition
Oracle Fusion Middleware, version 14.1.2.0.0	Fusion Middleware
Oracle GoldenGate Big Data and Application Adapters, versions 21.3-21.17, 23.4-23.7	Database
Oracle GoldenGate Stream Analytics, versions 19.1.0.0.0-19.1.0.0.11	Database
Oracle GoldenGate Studio, version 12.2.0.4.0	Database
Oracle GoldenGate Veridata, versions 12.2.1.4.0-12.2.1.4.250331	Database
Oracle GraalVM Enterprise Edition, version 21.3.14	Java SE
Oracle GraalVM for JDK, versions 17.0.15, 21.0.7, 24.0.1	Java SE
Oracle Graph Server and Client, versions 24.4.1, 25.1.0	Database
Oracle Healthcare Master Person Index, versions 5.0.0.0-5.0.9.2	HealthCare Applications
Oracle Hospitality Cruise Shipboard Property Management System, versions 23.1.4, 23.2.2	Oracle Hospitality Cruise Shipboard Property Management System
Oracle HTTP Server, versions 12.2.1.4.0, 14.1.2.0.0	Fusion Middleware
Oracle Hyperion Financial Reporting, version 11.2.20.0.0	Oracle Enterprise Performance Management
Oracle Hyperion Infrastructure Technology, version 11.2.21.0.0	Oracle Enterprise Performance Management
Oracle Identity Manager, version 12.2.1.4.0	Fusion Middleware
Oracle Insurance Policy Administration J2EE, versions 11.3.0-12.0.4	Oracle Insurance Applications
Oracle Java SE, versions 8u451, 8u451-b50, 8u451-perf, 11.0.27, 17.0.15, 21.0.7, 24.0.1	Java SE
Oracle JDeveloper, version 14.1.2.0.0	Fusion Middleware
Oracle Managed File Transfer, version 12.2.1.4.0	Fusion Middleware
Oracle Middleware Common Libraries and Tools, versions 12.2.1.4.0, 14.1.2.0.0	Fusion Middleware
Oracle NoSQL Database, versions 22.3.51, 23.1.38, 24.4.9	NoSQL Database
Oracle Outside In Technology, version 8.5.7	Fusion Middleware
Oracle Product Lifecycle Analytics, version 3.6.1	Oracle Supply Chain Products
Oracle REST Data Services, versions 24.2.0, 24.4, 25.1.0	Database
Oracle Retail EFTLink, versions 20.0.1, 21.0.0, 22.0.0, 23.0.0	Retail Applications
Oracle Retail Extract Tranform and Load, version 13.2.5	Retail Applications
Oracle Retail Integration Bus, versions 14.1.3.2, 15.0.3.1, 16.0.3, 19.0.1	Retail Applications
Oracle Retail Predictive Application Server, versions 15.0.3, 16.0.3	Retail Applications
Oracle Retail Service Backbone, versions 14.1.3.2, 15.0.3.1, 16.0.3, 19.0.1	Retail Applications
Oracle Retail Xstore Office, versions 20.0.5, 21.0.4, 22.0.2, 23.0.2, 24.0.1	Retail Applications
Oracle Retail Xstore Point of Service, versions 20.0.5, 21.0.4, 22.0.2, 23.0.2, 24.0.1	Retail Applications
Oracle Service Bus, version 12.2.1.4.0	Fusion Middleware
Oracle Spatial Studio, version 24.1.0	Database
Oracle TimesTen In-Memory Database, versions 18.1.4.52.0, 22.1.1.32.0	Database
Oracle Utilities Application Framework, versions 4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0, 4.4.0.3.0, 4.5.0.0.0, 4.5.0.1.1, 4.5.0.1.3, 24.1.0.0.0-24.3.0.0.0, 25.4	Oracle Utilities Applications
Oracle Utilities Network Management System, versions 2.4.0.1.27, 2.5.0.1.15, 2.5.0.2.8, 2.5.0.2.9, 2.6.0.1.7, 2.6.0.2.1, 2.6.0.2.2	Oracle Utilities Applications
Oracle Utilities Testing Accelerator, versions 7.0.0.0.0, 7.0.0.1.0	Oracle Utilities Applications
Oracle VM VirtualBox, version 7.1.10	Virtualization
Oracle WebCenter Enterprise Capture, version 12.2.1.4.0	Fusion Middleware
Oracle WebCenter Portal, version 12.2.1.4.0	Fusion Middleware
Oracle WebLogic Server, versions 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0	Fusion Middleware
PeopleSoft Enterprise HCM Global Payroll Core, versions 9.2.51, 9.2.52	PeopleSoft
PeopleSoft Enterprise HCM Human Resources, version 9.2	PeopleSoft
PeopleSoft Enterprise PeopleTools, versions 8.60, 8.61, 8.62	PeopleSoft
Primavera P6 Enterprise Project Portfolio Management, versions 20.12.0-20.12.21, 21.12.0-21.12.21, 22.12.0-22.12.19, 23.12.0-23.12.13, 24.12.0-24.12.4	Oracle Construction and Engineering Suite
Primavera Unifier, versions 20.12.0-20.12.16, 21.12.0-21.12.17, 22.12.0-22.12.15, 23.12.0-23.12.14, 24.12.0-24.12.6	Oracle Construction and Engineering Suite
Siebel Applications, versions 25.0-25.5	Siebel

Inhalt der Risikomatrix

Risikomatrizen listen nur Sicherheitslücken auf, die durch die mit diesem Hinweis verbundenen Patches neu behoben wurden. Risikomatrizen für frühere Sicherheitspatches finden Sie in früheren Critical Patch Update-Hinweisen und Warnmeldungen. Eine englische Textversion der in diesem Dokument bereitgestellten Risikomatrizen finden Sie hier.

Mehrere in diesem Critical Patch Update behobene Sicherheitslücken betreffen mehrere Produkte. Jede Sicherheitslücke wird durch eine CVE-ID identifiziert. Eine Sicherheitslücke, die mehrere Produkte betrifft, wird in allen Risikomatrizen mit derselben CVE-ID aufgeführt.

Sicherheitslücken werden anhand von CVSS Version 3.1 bewertet (eine Erläuterung dazu, wie Oracle CVSS Version 3.1 anwendet, finden Sie unter Oracle CVSS-Bewertung).

Oracle führt eine Analyse jeder Sicherheitslücke durch, die durch ein Critical Patch Update behoben wird. Oracle gibt keine detaillierten Informationen zu dieser Sicherheitsanalyse an Kunden weiter, aber die daraus resultierende Risikomatrix und die zugehörige Dokumentation enthalten Informationen zu den Bedingungen, unter denen die Sicherheitslücke ausgenutzt werden kann, sowie zu den potenziellen Auswirkungen einer erfolgreichen Ausnutzung. Oracle stellt diese Informationen zur Verfügung, damit Kunden ihre eigene Risikoanalyse auf der Grundlage der Besonderheiten ihrer Produktnutzung durchführen können. Weitere Informationen finden Sie unter Oracle-Richtlinien zur Offenlegung von Sicherheitslücken.

Sicherheitslücken in Komponenten von Drittanbietern, die nicht durch ihre Einbindung in Oracle-Produkte ausgenutzt werden können, sind unter der Risikomatrix des jeweiligen Oracle-Produkts aufgeführt. Ab dem Critical Patch Update vom Juli 2023 wird auch eine VEX-Begründung angegeben.

Das Protokoll in der Risikomatrix impliziert, dass alle sicheren Varianten ebenfalls betroffen sind. Wenn beispielsweise HTTP als betroffenes Protokoll aufgeführt ist, bedeutet dies, dass auch HTTPS betroffen ist. Die sichere Variante eines Protokolls wird in der Risikomatrix nur aufgeführt, wenn es sich um die einzige betroffene Variante handelt.

Quelle: Oracle

---