Skip to Main Content
  • Home
  • News

  • Oracle Critical Patch Update April 2026

Breadcrumb

Oracle Critical Patch Update April 2026

Der Critical Patch Update April 2026 ist letzte Nacht erschienen und behebt 8 neue Sicherheitslücken in den Oracle Datenbanken 19c, 23ai und 26ai.

  • CVE-2026-33870 Clusterware ... betrifft nur Nutzer von Oracle Grid Infrastruktur. Enthält auch Fixes für CVE-2026-33013
  • CVE-2026-35229 JavaVM ... betrifft nur Datenbank mit OJVM Option
  • CVE-2026-31790 RDBMS (OpenSSL) ... betrifft leider alle Datenbanken. Das liegt an mehrere Anfang Feb entdeckten Lücken in OpenSSL. Enthält auch Fixes für CVE-2025-15467.
  • CVE-2026-26007 RDBMS (Python) ... betrifft Sicherheitslücken in Python
  • CVE-2026-21999 XML DB ... Nur relevant, wenn man die XML DB via Listener von extern zugänglich macht.
  • CVE-2025-31948 Data Mining (Intel oneAPI) ... nur relevant, wenn man Data Mining (Cubes,...) in der Datenbank nutzt.
  • CVE-2025-48924 RDBMS (Appache Commons) ... Betrifft Developer Packages in der Datenbank und nur in Oracle 23ai/26ai.
  • CVE-2026-34312 RDBMS ... Zugriffe in der Datenbank, betrifft nur Oracle 19c Datenbanken

Weitere enthaltene Patches von Sicherheitslücken in non-Oracle Produkten:

  • Database (Apache Tomcat): CVE-2025-66614, CVE-2025-58050, CVE-2026-24733 and CVE-2026-24734 [VEX Justification: vulnerable_code_cannot_be_controlled_by_adversary].
  • GraalVM Multilingual Engine: CVE-2026-21945, CVE-2025-12183, CVE-2025-43368, CVE-2025-47219, CVE-2025-6021, CVE-2025-6052, CVE-2025-7425, CVE-2026-21925, CVE-2026-21932, CVE-2026-21933 and CVE-2026-21947 [VEX Justification: vulnerable_code_not_in_execute_path].
  • Java VM (Apache Hive): CVE-2025-62728 [VEX Justification: vulnerable_code_not_in_execute_path].
  • RDBMS (libexpat): CVE-2026-25210 and CVE-2026-24515 [VEX Justification: vulnerable_code_cannot_be_controlled_by_adversary].
  • RDBMS (Nhttp2): CVE-2026-27135 [VEX Justification: vulnerable_code_not_in_execute_path].
  • Spatial and Graph (SQLite): CVE-2025-6965 [VEX Justification: vulnerable_code_cannot_be_controlled_by_adversary].
  • SQLcl (Apache Log4j): CVE-2025-68161 [VEX Justification: vulnerable_code_not_in_execute_path].
  • SQLcl (assertj): CVE-2026-24400 [VEX Justification: vulnerable_code_not_in_execute_path].
  • SQLcl (MCP Java SDK): CVE-2026-34237 [VEX Justification: vulnerable_code_cannot_be_controlled_by_adversary].

Auch für den Oracle Client gibt es eine behobene Sicherheitslücke mit CVE-2025-48924.

Folgende weitere datenbanknahe Produkte sind zumindest von der OpenSSL Lücke betroffen (Liste nicht garantiert vollständig):

  • APEX 25.11 bis 26.1
  • Golden Gate

Empfehlung:

Auf Grund der Patches für OpenSSL sollten dieser RU in allen Oracle 19c, 23ai und 26ai Datenbanken eingespielt werden. Auch das Patching von datenbanknahen Produkten wie APEX, Golden Gate und ähnlichen ist ratsam.

Hinweis

Die Patches sind am 22. April 2026 um 9Uhr selbst für Linux x86-64 noch nicht alle verfügbar - Oracle meldet folgende, voraussichtliche Verfügbarkeiten der Software:

  • DB und GI RUs für 19c Linux x86_64 kommen erst am 28.04.
  • OJVM RU für 19c Linux x86_64 kommt am 30.4.

Die Patches für Linux x86-64 sind seit 1. Mai 2026 verfügbar. Für andere Plattformen kommt der Patch erst in 1-2 Wochen, das gleiche gilt für den OEM.

Update vom 15. Mai 2026

Oracle hat den RU vor einigen Tagen zurückgezogen, weil es in Zusammenhang mit der Exadata Probleme gab. Für Linux x86_64 sind die Patches zum Teil schon wieder verfügbar. Für alle anderen Plattformen wurden die Patches auf den 27. Mai verschoben.

Die Patches für den OEM 13.5 wurden auf den 22. Mai verschoben.


Footer

© 2026 DB Masters GmbH
A-2201 Gerasdorf, Stammersdorferstrasse 463, Tel.: +43 699 150 378 84
ImpressumDatenschutzAGBKontaktNewsletter ✉

Footer Social Icons