Der Critical Patch Update April 2026 ist letzte Nacht erschienen und behebt 8 neue Sicherheitslücken in den Oracle Datenbanken 19c, 23ai und 26ai.

• CVE-2026-33870 Clusterware ... betrifft nur Nutzer von Oracle Grid Infrastruktur. Enthält auch Fixes für CVE-2026-33013
• CVE-2026-35229 JavaVM ... betrifft nur Datenbank mit OJVM Option
• CVE-2026-31790 RDBMS (OpenSSL) ... betrifft leider alle Datenbanken. Das liegt an mehrere Anfang Feb entdeckten Lücken in OpenSSL. Enthält auch Fixes für CVE-2025-15467.
• CVE-2026-26007 RDBMS (Python) ... betrifft Sicherheitslücken in Python
• CVE-2026-21999 XML DB ... Nur relevant, wenn man die XML DB via Listener von extern zugänglich macht.
• CVE-2025-31948 Data Mining (Intel oneAPI) ... nur relevant, wenn man Data Mining (Cubes,...) in der Datenbank nutzt.
• CVE-2025-48924 RDBMS (Appache Commons) ... Betrifft Developer Packages in der Datenbank und nur in Oracle 23ai/26ai.
• CVE-2026-34312 RDBMS ... Zugriffe in der Datenbank, betrifft nur Oracle 19c Datenbanken

Weitere enthaltene Patches von Sicherheitslücken in non-Oracle Produkten:

• Database (Apache Tomcat): CVE-2025-66614, CVE-2025-58050, CVE-2026-24733 and CVE-2026-24734 [VEX Justification: vulnerable_code_cannot_be_controlled_by_adversary].
• GraalVM Multilingual Engine: CVE-2026-21945, CVE-2025-12183, CVE-2025-43368, CVE-2025-47219, CVE-2025-6021, CVE-2025-6052, CVE-2025-7425, CVE-2026-21925, CVE-2026-21932, CVE-2026-21933 and CVE-2026-21947 [VEX Justification: vulnerable_code_not_in_execute_path].
• Java VM (Apache Hive): CVE-2025-62728 [VEX Justification: vulnerable_code_not_in_execute_path].
• RDBMS (libexpat): CVE-2026-25210 and CVE-2026-24515 [VEX Justification: vulnerable_code_cannot_be_controlled_by_adversary].
• RDBMS (Nhttp2): CVE-2026-27135 [VEX Justification: vulnerable_code_not_in_execute_path].
• Spatial and Graph (SQLite): CVE-2025-6965 [VEX Justification: vulnerable_code_cannot_be_controlled_by_adversary].
• SQLcl (Apache Log4j): CVE-2025-68161 [VEX Justification: vulnerable_code_not_in_execute_path].
• SQLcl (assertj): CVE-2026-24400 [VEX Justification: vulnerable_code_not_in_execute_path].
• SQLcl (MCP Java SDK): CVE-2026-34237 [VEX Justification: vulnerable_code_cannot_be_controlled_by_adversary].

Auch für den Oracle Client gibt es eine behobene Sicherheitslücke mit CVE-2025-48924.

Folgende weitere datenbanknahe Produkte sind zumindest von der OpenSSL Lücke betroffen (Liste nicht garantiert vollständig):

• APEX 25.11 bis 26.1
• Golden Gate

Empfehlung:

Auf Grund der Patches für OpenSSL sollten dieser RU in allen Oracle 19c, 23ai und 26ai Datenbanken eingespielt werden. Auch das Patching von datenbanknahen Produkten wie APEX, Golden Gate und ähnlichen ist ratsam.

Hinweis:

Die Patches sind am 22. April 2026 um 9Uhr selbst für Linux x86-64 noch nicht alle verfügbar - Oracle meldet folgende, voraussichtliche Verfügbarkeiten der Software:

• DB und GI RUs für 19c Linux x86_64 kommen erst am 28.04.
• OJVM RU für 19c Linux x86_64 kommt am 30.4.