Oracle liefert zum vierteljährlichen, „Critical Patch Update“ (CPU) genannten Patchday im Oktober 374 Softwareflicken aus. Admins sollten prüfen, ob sie betroffene Produkte in ihren Netzen einsetzen, und die Aktualisierungen zügig installieren.

Auf der Übersichtsseite listet Oracle alle betroffenen Produkte und die darin mit den Aktualisierungen geschlossenen Sicherheitslücken auf. Als kritisches Risiko eingestufte Sicherheitslücken sollten besonders zügig angegangen werden. Die finden sich etwa in Oracle GoldenGate, Oracle Communications und zugehörigen Applications, Oracle E-Business Suite, Oracle Financial Services Applications, Oracle Fusion Middleware, Oracle JD Edwards, Oracle MySQL, Oracle PeopleSoft und Oracle Siebel CRM.

Oracle: Nicht nur kritische Sicherheitslücken bedürfen Aufmerksamkeit

In mehreren Produkten klaffen zudem Sicherheitslecks, die eine kritische Risikoeinstufung nur knapp verfehlen. Auch hier sollten IT-Verantwortliche schnell handeln. Etwa die populäre Virtualisierungssoftware VM Virtualbox weist mehrere hochriskante Schwachstellen auf. Die bessern die nun verfügbaren Updates auf Virtualbox 7.2.4 respektive 7.1.14 aus.

Sicherheitslücken in Oracle-Produkten sind bei Cyberkriminellen begehrt. Erst vergangene Woche musste Oracle außer der Reihe Schwachstellen in der Oracle E-Business-Suite ausbessern. Neben der bereits angegriffenen Zero-Day-Lücke CVE-2025-61882, die mit einem CVSS-Wert von 9.8 als „kritisch“ gilt, hatten die Entwickler noch eine weitere gefunden. Die Schwachstelle CVE-2025-61884, eine Server-Side-Request-Forgery, hat als Risikoeinstufung zwar lediglich den CVSS-Wert 7.5, Risiko „hoch„, erhalten. Aber auch die hat die US-Cybersicherheitsbehörde CISA inzwischen in den „Known Exploited Vulnerabilities“-Katalog aufgenommen, das heißt, sie wird bereits aktiv im Netz angegriffen. Die ältere Lücke wurde zudem für Erpressungsversuche mit Ransomware missbraucht.

Der nächste planmäßige Oracle-Critical-Patch-Update-Tag findet am 20. Januar 2026 statt.

(dmk)

Die Firewall-Serien ATP, USG FLEX und USG FLEX 50(W)/USG20(W)-VPN sind verwundbar. Angreifer können an zwei Sicherheitslücken ansetzen. Um Instanzen abzusichern, sollten Admins das verfügbare Sicherheitsupdate installieren.

Die Gefahren

Beide Schwachstellen (CVE-2025-8078, CVE-2025-9133) sind mit dem Bedrohungsgrad „hoch“ eingestuft. Im ersten Fall müssen Angreifer bereits über Administratorrechte verfügen, um eigene Befehle auf Systemebene ausführen zu können. In dieser Position steht ihnen aber ohnehin schon Tür und Tor offen.

Im zweiten Fall müssen Angreifer den ersten Abschnitt der Einrichtung zur Zwei-Faktor-Authentifizierung abgeschlossen haben. Ist das gegeben, können sie Systemkonfigurationen einsehen und herunterladen.

Instanzen schützen

Auch wenn es bislang keine Berichte zu Attacken gibt, sollten Admins das Sicherheitsupdate ZDL V5.41 zeitnah installieren. In einer Warnmeldung geben die Entwickler an, dass die ZDL-Ausgaben V4.32 bis einschließlich V5.40 von den Sicherheitslücken betroffen sind.

Zuletzt haben die Entwickler im April dieses Jahres Sicherheitsupdates für Firewalls veröffentlicht.

(des)

Wer Windows mit geklonten oder duplizierten Installationen im Netzwerk betreibt, kann seit der Update-Vorschau von Ende August oder den Sicherheitsupdates vom Microsoft-September-Patchday unerwünschtes Verhalten im Netzwerk beobachten. Anmeldungen schlagen fehl, die Kommunikation zwischen Stationen und Servern will nicht mehr.

Das räumt Microsoft nun in einem Support-Artikel ein. Uns liegt auch ein Leserhinweis zu diesen Problemen vor. Die Problembeschreibung lautet konkret, dass es zu Authentifizierungsfehlern mit Kerberos und NTLM auf Geräten kommt, bei denen duplizierte Security Identifier (SIDs) vorliegen. Betroffen sind Windows 11 24H2 und 25H2 sowie Windows Server 2025, nach der Installation der Update-Vorschauen aus August oder der Patches vom September.

Vielfältige Symptome

Microsoft listet diverse mögliche Symptome auf, die bei Nutzerinnen und Nutzer in solch einer Situation auftreten können: Etwa wiederholte Aufforderungen zur Eingabe der Zugangsdaten oder Zugangsanfragen mit gültigen Zugangsdaten, die zu Fehlermeldungen wie „Anmeldeversuch fehlgeschlagen“, „Login fehlgeschlagen/Ihre Zugangsdaten haben nicht funktioniert“, „Es gibt eine partielle Nicht-Übereinstimmung der Machine-ID“ oder schlicht „Nutzername oder Passwort ist inkorrekt“ führen.

Weitere Effekte umfassen, dass der Zugriff auf Netzwerkfreigaben weder mittels IP-Adresse noch Hostnamen gelingt, Remote-Desktop-Sitzungen nicht aufgebaut werden können, „Failover Clustering“ mit einer „Zugriff verweigert“-Meldung fehlschlägt oder in den Ereignisprotokollen etwa im Sicherheits-Log die Meldung „SEC_E_NO_CREDENTIALS“ oder im System-Log die LSASS-Event-ID 6167 mit der Nachricht „There is a partial mismatch in the machine ID. This indicates that the ticket has either been manipulated or it belongs to a different boot session.“ auftauchen.

Ursachen und Abhilfe

Zur Ursache erörtert Microsoft, dass die Windows-Updates seit Ende August als zusätzliche Schutzmaßnahme erzwungene Überprüfungen der SIDs einführen, die nun Authentifizierungsfehler bei SID-Dubletten auslösen. Die Design-Änderung blockiert Authentifizierung-Handshakes zwischen solchen Geräten.

Zu mehrfach genutzten SIDs kommt es etwa, wenn von Microsoft nicht unterstützte Formen des Klonens oder Duplizierens von Windows-Installationen ohne das Laufenlassen von Sysprep genutzt werden. „Aktivierte SID-Uniqueness in Sysprep ist für eine Betriebssystemduplizierung von Windows 11 24H2, 25H2 und Server 2025 nach der Installation von Windows Updates nach dem 29. August 2025 nötig“, schreibt Microsoft. Für eine dauerhafte Lösung müssen Geräte mit SID-Dubletten neu aufgesetzt werden, mittels offiziell unterstützter Methoden zum Klonen oder Duplizieren von Windows-Installationen, um so eine einzigartige SID zu erhalten. IT-Admins können für eine temporäre Lösung den Microsoft-Business-Support kontaktieren, der dazu eine spezielle Gruppenrichtlinie bereitstellen kann.

(dmk)