Datenschutz & Sicherheit
Oracle CSPU: 35 Sicherheitsupdates im Mai
Von Oracle kennt man die quartalsweisen Patchdays, „Critical Patch Update“ (CPU) genannt – der zuletzt im April stattfand und dort 481 Schwachstellen behandelte. Im Mai hat das Unternehmen nun erstmals ein „Critical Security Patch Update“ (CSPU) eingeschoben. Die sollen künftig an jedem dritten Dienstag in den Monaten stattfinden, in denen es kein reguläres CPU gibt.
Weiterlesen nach der Anzeige
In der Übersicht zum CSPU im Mai 2026 schreiben Oracles Entwickler, dass sie sich um 35 Schwachstellen in unterschiedlichen Produkten kümmern. Etwa in Oracles Datenbanken können Angreifer aus dem Netz drei Schwachstellen ohne vorherige Authentifizierung missbrauchen, auch Client-Installationen sind betroffen. Die Lücke CVE-2026-46833 erreicht dabei mit dem CVSS-Wert 9.0 eine Risikobewertung als „kritisch“. In den Oracle REST Data Services klaffen 11 „selbst programmierte“ Lücken und einige aus externer Software – sieben davon sind aus der Ferne ausnutzbar, ohne vorherige Anmeldung. Im Backend-as-a-Service erhält CVE-2026-46840 mit CVSS 10.0 die höchstmögliche Risikoeinstufung als „kritisch“. Mit CVSS-Werten über 9 fallen auch CVE-2026-46775, CVE-2026-46839 sowie CVE-2026-2332 in diese Risikogruppe.
In Oracle Communications haben die Entwickler acht Lücken gestopft, davon erreicht lediglich CVE-2026-33557 mit CVSS 9.1 eine „kritische“ Risikoeinstufung. Außerdem stehen Updates zum Schließen von zwölf Sicherheitslücken in der Oracle E-Business Suite bereit. Vier Schwachstellen stufen die Entwickler hier mit CVSS-Werten größer 9 als „kritische“ Bedrohung ein (CVE-2026-46822, CVE-2026-46824, CVE-2026-46817 und CVE-2026-46819). Außerdem gibt es eine Aktualisierung zum Schließen eines Sicherheitslecks in den Oracle Hospitality OPERA 5 Property Services (CVE-2026-34311, CVSS 9.8, Risiko „kritisch“).
Aktualisierungen jetzt anwenden
Sicherheitslücken in Oracle-Produkten stellen ein reales Risiko dar. Kriminelle haben etwa vergangenen Herbst eine Schwachstelle in Oracles E-Business-Suite zum Entwenden von sensiblen Daten von hunderten Firmen missbraucht. Im Anschluss hat die Cybergang Cl0p betroffene Unternehmen dann um Lösegeld erpresst. IT-Verantwortliche sollten daher schauen, ob sie verwundbare Oracle-Software in ihrem Netzwerk einsetzen und die verfügbaren Aktualisierungen zeitnah anwenden.
(dmk)