Oracle, Sicherheitslücken

Oracle: 337 Sicherheitslücken im ersten Groß-Update 2026

25.01.2026 - 23:44:12

Oracles erstes Sicherheitsupdate des Jahres schließt Hunderte Lücken, darunter zwei extrem kritische mit CVSS-Score 10.0. IT-Abteilungen müssen Patches für Kernsysteme priorisieren.

Oracle: 337 Sicherheitslücken im ersten Groß-Update 2026 - Foto: über boerse-global.de
Oracle: 337 Sicherheitslücken im ersten Groß-Update 2026 - Foto: über boerse-global.de

Oracle schließt mit seinem ersten Critical Patch Update des Jahres 337 Schwachstellen in zentralen Unternehmensprodukten. Besonders kritisch sind zwei Lücken mit der höchsten Gefahrenstufe.

Das am 20. Januar veröffentlichte Update adressiert rund 230 einzigartige Sicherheitslücken (CVEs), die sich auf über 30 Produktfamilien verteilen. Betroffen sind Kernsysteme wie die Oracle Database, Fusion Middleware, die E-Business Suite und MySQL. Angesichts der Masse an Patches stehen IT-Abteilungen vor einer gewaltigen Aufgabe. Oracle warnt jedoch eindringlich: Angreifer nutzen bekannte, ungepatchte Lücken bei Kunden aktiv aus. Eine schnelle Reaktion ist daher keine Option, sondern Pflicht.

Kritische Lücken mit CVSS-Score 10.0

Besonderes Augenmerk erfordern Schwachstellen, die aus der Ferne und ohne Zugangsdaten ausgenutzt werden können. Mehr als 235 der Patches beheben solche Lücken. Zwei davon sind extrem gefährlich und erhielten die Höchstbewertung von 10.0 auf der CVSS-Skala.

  • CVE-2026-21962: Diese Lücke im Oracle HTTP Server und WebLogic Server Proxy Plug-in könnte es Angreifern ermöglichen, Authentifizierungsmechanismen zu umgehen. Da Proxy-Server oft in der DMZ stehen, ist das Risiko hier besonders hoch.
Anzeige

Passend zum Thema IT‑Sicherheit: Oracle stopft Hunderte Sicherheitslücken — doch reale Angriffe starten oft in der Lieferkette oder durch fehlende Awareness. Das kostenlose E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen zusammen (inkl. Exploits über Bibliotheken wie Apache Tika) und bietet sofort umsetzbare Maßnahmen: Priorisierung kritischer Systeme, Schulungs‑Checklisten für Mitarbeitende und technische Sofortmaßnahmen zur Härtung Ihrer Infrastruktur. Ideal für IT‑Leitung und Compliance‑Verantwortliche, die ihr Patch‑Management effektiver gestalten wollen. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

  • CVE-2025-66516: Diese kritische Schwachstelle steckt in der Drittanbieter-Bibliothek Apache Tika, die Oracle in vielen Produkten nutzt. Über präparierte Dateien könnte Schadcode eingeschleust werden.

Diese Fälle zeigen die Achillesferse moderner IT: Eine unsichere Komponente in der Lieferkette gefährdet gleich eine ganze Produktpalette.

Diese Oracle-Produkte sind besonders betroffen

Die Verteilung der Patches zeigt, wo der Handlungsdruck am größten ist. Die Top-Fünf der betroffenen Produktfamilien:

  • Oracle Communications: 56 Patches (Spitzenreiter)
  • Oracle Zero Data Loss Recovery Appliance: 56 Patches, 34 remote ausnutzbar
  • Oracle Fusion Middleware: 51 Patches, 47 remote ausnutzbar
  • Oracle Enterprise Manager: 51 Patches, 47 remote ausnutzbar
  • Oracle E-Business Suite: 38 Patches, 33 remote ausnutzbar

Die Zahlen sind eindeutig: Systeme mit Internetanbindung müssen sofort priorisiert werden. Das gilt nicht nur für den direkten Schutz, sondern auch für die IT-Compliance. Das Unterlassen verfügbarer Patches kann im Schadensfall als Fahrlässigkeit gewertet werden.

Handlungsempfehlung für Unternehmen

Was also tun? Sicherheitsexperten raten zu einem strukturierten Vorgehen:
1. Priorisieren: Zuerst Systeme patchen, die von außen erreichbar sind oder kritische Daten verarbeiten.
2. Testen: Patches vor der produktiven Installation in einer Testumgebung prüfen.
3. Sichern: Vor jedem Update aktuelle Backups aller betroffenen Systeme anlegen.
4. Dokumentieren: Die durchgeführten Patches für Compliance-Nachweise und Audits protokollieren.

Der Wettlauf gegen Hacker ist ein Dauerlauf. Oracle hat bereits den Termin für das nächste Critical Patch Update am 21. April 2026 angekündigt. Für IT-Verantwortliche bedeutet das: Ein proaktives, gut organisiertes Patch-Management ist kein Projekt, sondern ein kontinuierlicher Prozess – die Grundlage für Sicherheit und Compliance.

Anzeige

PS: Oracle kündigt Updates an — sind Ihre Mitarbeitenden wirklich auf aktuelle Angriffsvektoren vorbereitet? Der kostenlose Guide zeigt eine praxiserprobte 4‑Schritte‑Strategie gegen Phishing, CEO‑Fraud und Lieferketten‑Exploits, inklusive Awareness‑Vorlagen, Prüflisten für kritische Systeme und technischen Sofortmaßnahmen, die IT‑Teams ohne großes Budget umsetzen können. So verknüpfen Sie Patch‑Management mit organisatorischen Schutzmaßnahmen und reduzieren das Einfallstor für Angreifer schnell und messbar. Jetzt kostenlosen Cyber‑Schutz‑Guide sichern

@ boerse-global.de
Lerne live von den Börsen-Profis – melde dich jetzt kostenlos an.