Oracle schließt 337 Sicherheitslücken mit Critical Patch Update

Umfassendes Sicherheitspaket für Oracle-Produktportfolio

Oracle hat sein monatliches Critical Patch Update für Januar 2026 bereitgestellt. Das Sicherheitspaket umfasst 337 neue Fixes und adressiert Schwachstellen in zahlreichen Produktlinien des Softwareherstellers.

Betroffene Systeme und Anwendungen

Das Update deckt ein breites Spektrum der Oracle-Infrastruktur ab. Zu den aktualisierten Komponenten zählen die Database Server-Familie, APEX sowie Essbase. Ebenfalls enthalten sind Patches für GoldenGate, Graph Server und Client sowie die NoSQL Database.

Weitere betroffene Bereiche umfassen Secure Backup, Zero Data Loss Recovery Appliance und Commerce-Lösungen. Im Middleware-Segment erhalten Analytics, Fusion Middleware und Hyperion Aktualisierungen. Auch Enterprise-Anwendungen wie E-Business Suite, JD Edwards, PeopleSoft und Siebel CRM sind Teil des Updates.

Patch-Strategie und Verteilung

Die Sicherheitsaktualisierungen folgen Oracles etabliertem Rhythmus für Critical Patch Updates. Diese sammeln Fixes für verschiedene Schwachstellen sowohl im eigenen Code als auch in integrierten Drittkomponenten. Die Patches bauen kumulativ aufeinander auf, wobei jede Veröffentlichung die seit dem letzten Zyklus hinzugekommenen Korrekturen dokumentiert.

Bewertung nach CVSS 3.1

Oracle nutzt das Common Vulnerability Scoring System Version 3.1 zur Risikoeinstufung. Jede Schwachstelle erhält eine eindeutige CVE-Kennung. Wenn mehrere Produkte von derselben Lücke betroffen sind, erscheint die identische CVE-ID in den entsprechenden Risikomatrizen.

Die Dokumentation enthält Informationen zu Angriffsvektoren und möglichen Auswirkungen erfolgreicher Exploits. Kunden können damit eigene Risikoanalysen basierend auf ihrer spezifischen Systemkonfiguration durchführen.

Support-Richtlinien und Verfügbarkeit

Patches werden ausschließlich für Produktversionen bereitgestellt, die unter Premier Support oder Extended Support fallen. Diese Regelung entspricht der Lifetime Support Policy des Unternehmens. Für Database-, Middleware- und Enterprise Manager-Produkte gelten zusätzlich die Bestimmungen der Software Error Correction Support Policy.

Versionen außerhalb des aktiven Supports erhalten keine Prüfung auf die durch dieses Update behobenen Schwachstellen. Oracle geht jedoch davon aus, dass auch ältere Releases betroffen sein können.

Empfohlene Maßnahmen

Der Hersteller rät zur zügigen Installation der Sicherheitsupdates. Regelmäßig erreichen Oracle Berichte über Angriffsversuche auf bereits gepatchte Schwachstellen. In mehreren Fällen waren diese erfolgreich, weil betroffene Systeme nicht aktualisiert worden waren.

Bis zur Implementierung der Patches können Administratoren das Risiko durch Blockierung bestimmter Netzwerkprotokolle reduzieren. Alternativ lässt sich bei Schwachstellen mit erforderlichen Berechtigungen die Zugriffskontrolle verschärfen. Beide Ansätze können die Funktionalität einschränken und sollten in Testumgebungen validiert werden.

Dokumentation und Ressourcen

Detaillierte Informationen stellt Oracle im Critical Patch Update Advisory unter oracle.com/security-alerts/cpujan2026.html bereit. Eine Zusammenfassung findet sich auf My Oracle Support unter der Dokumenten-ID CPU3. Kunden, die vorherige Update-Zyklen ausgelassen haben, sollten frühere Advisories konsultieren.

Die Risikomatrizen listen ausschließlich neu behobene Schwachstellen auf. Informationen zu früheren Patches sind in vorhergehenden Veröffentlichungen dokumentiert. Bei Protokollangaben in den Matrizen sind stets auch verschlüsselte Varianten eingeschlossen – HTTP impliziert beispielsweise auch HTTPS.

Drittkomponenten-Schwachstellen

Sicherheitslücken in Drittanbieter-Komponenten, die im Kontext ihrer Integration in Oracle-Produkte als nicht ausnutzbar eingestuft werden, sind mit VEX-Begründungen unterhalb der produktspezifischen Risikomatrizen aufgeführt.

Das vollständige Advisory mit allen technischen Details und Patch-Informationen ist über die offizielle Oracle Security-Website abrufbar.

Auch spannend:

---