Der Oracle Critical Patch Update Jan 2026 ist verfügbar und bringt auch einiges an Überraschungen mit sich. Schauen wir uns zuerst die behobenen Security Fixes an:

• CVE-2025-12383 … betrifft nur Nutzer von FPP und hier auch nur für Oracle 23ai und 26ai Datenbanken.
• CVE-2026-21939 … trifft alle Nutzer von SQLcl für Oracle 23ai und 26ai Datenbanken. Sofern man SQLcl nicht nutzt, besteht auch keine Gefahr.
• CVE-2025-8194 … hier sind Zugriffe mittels Python auf Oracle 21c, 23ai und 26ai Datenbanken verwundbar.
• CVE-2025-67735 … bei dieser Lücke im Oracle Graal Development Kit sind Oracle 19c, 23ai und 26ai betroffen. Da die Lücke über das Netzwerk ausgenutzt werden kann und KEINE Authentifizierung benötigt, sollte man unbedingt patchen.
• CVE-2026-21975 … OJVM in der Datenbank Oracle 19c, 21c
• CVE-2025-61755 … Wieder die GraalVM für Oracle 21c, 23ai und 26ai.
• CVE-2025-54874 … Spatial und Graph (OpenJPEG) für Oracle 23ai und 26ai.

Der Patch CVE-2025-8194 behebt zusätzlich noch folgende CVEs: CVE-2025-13836, CVE-2025-13837, CVE-2025-6069, CVE-2025-6075, CVE-2025-8291 und CVE-2025-8869.

Im CPU ist auch ein Fix für VEX Justification: vulnerable_code_not_in_execute_path.

Mit dem CPU wird aus einer Oracle Datenbank 23ai eine Oracle AI Datenbank 26ai.

Sofern man in der Datenbank kein OJVM hat, gibt es einen Bug in einem der Patching Scripts, das vom datapatch ausgeführt wird. Der Workaround wird in unserem Blog beschrieben.