Synthese
Oracle hat sein Critical Patch Update für Januar veröffentlicht, das 389 Sicherheitslücken in mehreren Produkten behebt, darunter 18 mit dem Schweregrad „kritisch“. Einige davon könnten ausgenutzt werden, um nicht autorisierte Vorgänge auszuführen oder die Verfügbarkeit des Dienstes auf den Zielsystemen zu beeinträchtigen.
Hinweis (aktualisiert am 25.02.2025): Die Sicherheitslücke CVE-2024-20953 wird online aktiv ausgenutzt.
Hinweis (aktualisiert am 06.02.2024): Ein Proof of Concept (PoC) zur Ausnutzung der Schwachstelle CVE-2024-20931 ist online verfügbar.
Risiko
Geschätzte Auswirkung der Verwundbarkeit auf die Referenzgemeinschaft: Mittel (62,3)
Typologie
- Data Manipulation
- Denial of Service
- Elevation of Privilege
- Information Disclosure
- Remote Code Execution
- Security Restriction Bypass
Betroffene Produkte und Versionen
Oracle
- Analytics
- Audit Vault and Database Firewall
- Big Data Spatial and Graph
- Commerce
- Communications
- Communications Applications
- Construction and Engineering
- Database Server
- E-Business Suite
- Enterprise Manager
- Essbase
- Financial Services Applications
- Fusion Middleware
- Global Lifecycle Management
- GoldenGate
- Graph Server and Client
- Hyperion
- Java SE
- JD Edwards
- MySQL
- NoSQL Database
- PeopleSoft
- REST Data Services
- Retail Applications
- Secure Backup
- Siebel CRM
- SQL Developer
- Supply Chain
- Systems
- TimesTen In-Memory Database
- Utilities Applications
Schadensbegrenzungsmaßnahmen
Gemäß den Aussagen des Herstellers wird empfohlen, Produkte immer auf die neuste verfügbare Version zu aktualisieren.
Weitere Informationen zu den betroffenen Produkten und den Interventionsmethoden finden Sie im Sicherheitsbulletin im Abschnitt „Referenzen“.
Nachfolgend sind nur die CVEs für Schwachstellen mit dem Schweregrad „kritisch“ aufgeführt:
Referenzen
https://www.oracle.com/security-alerts/cpujan2024.html
https://www.oracle.com/security-alerts/cpujan2024verbose.html
1Diese Schätzung erfolgt unter Berücksichtigung mehrerer Parameter, darunter: CVSS, Verfügbarkeit von Patches/Workarounds und PoC, Verbreitung der betroffenen Software/Geräte in der Referenz-Community.
