Skip to Main Content
  • Home
  • News

  • Oracle Critical Patch Update Jan 2025

Breadcrumb

Oracle Critical Patch Update Jan 2025

Der Jan 2025 CPU enthält Patches für Oracle 23ai, 21c und 19c - ältere Datenbankversionen erhalten keine Patches mehr.

Analyse:

  • CVE-2023-52428 Oracle Graal Development Kit for Micronaut (Nimbus JOSE+JWT) betrifft nur Oracle 23ai
  • CVE-2022-26345 Oracle Database Data Mining betrifft Oracle 19c & 21c, setzt aber Data Mining in der Datenbank und eine Anmeldung voraus.
  • CVE-2023-48795 Database Migration Assistant for Unicode betrifft das SSH Protokol und ist über das Netzwerk ausführbar.
  • CVE-2025-21553 Java VM betrifft alle Versionen und setzt die OJVM in der Datenbank sowie einen Anmeldung voraus
  • CVE-2024-21211 GraalVM Multilingual Engine trifft nur Oracle 21c/23ai

In diesem CPU sind auch noch folgende weitere CVEs behoben, für die es aktuell keine bekannten Exploits gibt (somit keine bekannten Angriffsvektoren):

  • Oracle Database Grid (Apache Tomcat): CVE-2024-52316 and CVE-2024-47554 [VEX Justification: vulnerable_code_not_in_execute_path].
  • Oracle Database Workload Manager (Apache Commons-IO): CVE-2024-52316 and CVE-2024-47554 [VEX Justification: vulnerable_code_not_in_execute_path].
  • Oracle Spatial and Graph (Apache Lucene): CVE-2024-45772 [VEX Justification: vulnerable_code_not_in_execute_path].
  • Oracle Spatial and Graph Mapviewer (Google Protobuf-Java): CVE-2024-7254 [VEX Justification: vulnerable_code_not_in_execute_path].
  • Oracle Spatial and Graph Spatial Web Services (RequireJS): CVE-2024-38998 and CVE-2024-38999 [VEX Justification: vulnerable_code_not_in_execute_path].

Alle CVEs sind lediglich in den Server Komponenten vorhanden. Ein einspielen des CPUs auf Clients ist somit nicht notwendig.

Sofern die Datenbankversion Oracle 19c oder 21c ist und weder Data Mining noch OJVM in der Datenbank aktiv ist, ist nur der CVE-2023-48795 Database Migration Assistant for Unicode mit einem Base Score von 5.9 relevant. Abhängig von den Sicherheitsrichtlinien in Ihrem Unternehmen, sowie der Abschottung der Datenbank Server (ist ein SSH Zugriff über das Client LAN auf die DatenbanK Server möglich), kann man diesen CPU gegebenfalles auch auslassen.

Kunden mit Oracle 23ai empfehlen wir das Einspielen des CPUs einzuplanen, da ein Angriff über das Netzwerk auf die Komponenten des Oracle Graal Development Kit ohne Authentifizierung möglich ist.

Referenzen

  • Oracle Critical Patch Update Advisory - January 2025
  • Critical Patch Update (CPU) Program Jan 2025 Patch Availability Document (DB-only) (Doc ID 3056559.1)



Footer

© 2025 DB Masters GmbH
A-2201 Gerasdorf, Stammersdorferstrasse 463, Tel.: +43 699 150 378 84
ImpressumDatenschutzAGBKontaktNewsletter ✉

Footer Social Icons