Der Oracle Critical Patch Update Oktober 2025 ist vor wenigen Minuten freigegeben worden. Für die Oracle Datenbank gibt es folgende 6 Sicherheitslücken:
Zwei davon sind lassen sich ohne Authentifizierung über das Netzwerk nutzen. Die Sicherheitslücke für SQLcl betrifft nur die Oracle Datenbank Client und nicht die Datenbank Server Installation.
Der Patch für die Sicherheitslücke CVE-2025-4517 behebt folgende weitere Lücken CVE-2024-12254, CVE-2024-12718, CVE-2024-6923, CVE-2024-8088, CVE-2025-1795, CVE-2025-4138, CVE-2025-4330 und CVE-2025-4435 - so gesehen, sind es nicht 6 sondern 14 behobene Lücken.
- CVE-2025-4517 behebt mehrere Sicherheitslücken in Python für Oracle Datenbank 21c und 23ai
- CVE-2025-61881 ist nur relevant, wenn man die Datenbank mit Java (in der Datenbank - aka OJVM) betreibt. Wenn die Java Option nicht in der Datenbank installiert ist, ist diese gefährliche Lücke (weil ohne Authentifizierung über das Netzwerk ausnutzbar) nicht relevant.
- CVE-2025-53047 betrifft die Clusterware (Teil jeder Oracle Datenbank Installation)
- CVE-2025-4949 behebt einen Fehler von SQLcl (Teil des Oracle Datenbank 23ai Clients)
- CVE-2025-53051 und CVE-2025-61749 sind nur für Oracle Datenbank 23ai relevant
Da die Oracle Datenbank 21c nicht für den Produktiveinsatz gedacht ist und Oracle 23ai für onPremise nicht zur Verfügung steht, bleiben somit für Oracle 19c lediglich die Sicherheitslücken im OJVM und in der Clusterware übrig.
Sofern man die Java in der Datenbank Option nicht nutzt (nicht eingespielt hat), bleibt nur noch das Bonjour Protokoll der Clusterware. Dieses kann man durch entsprechend konfigurierte Firewalls (sowohl am Host als auch für das Netzwerk in dem die Datenbank läuft) entschärfen oder zumindest deutlich Aufwändiger machen.
Hinweis: Durch die Installation dieses Release Updates wird eine Oracle Datenbank 23ai zu einer Oracle AI Datenbank 26ai (Versionsnummer 23.26.0).
Referenzen
- Oracle Critical Patch Update Oktober 2025
- CPU Oct 2025 Patch Availability Document (DB-only) (Doc ID 3102899.1)