Oracle liefert zum vierteljährlichen, „Critical Patch Update“ (CPU) genannten Patchday im Oktober 374 Softwareflicken aus. Admins sollten prüfen, ob sie betroffene Produkte in ihren Netzen einsetzen, und die Aktualisierungen zügig installieren.

Auf der Übersichtsseite listet Oracle alle betroffenen Produkte und die darin mit den Aktualisierungen geschlossenen Sicherheitslücken auf. Als kritisches Risiko eingestufte Sicherheitslücken sollten besonders zügig angegangen werden. Die finden sich etwa in Oracle GoldenGate, Oracle Communications und zugehörigen Applications, Oracle E-Business Suite, Oracle Financial Services Applications, Oracle Fusion Middleware, Oracle JD Edwards, Oracle MySQL, Oracle PeopleSoft und Oracle Siebel CRM.

Oracle: Nicht nur kritische Sicherheitslücken bedürfen Aufmerksamkeit

In mehreren Produkten klaffen zudem Sicherheitslecks, die eine kritische Risikoeinstufung nur knapp verfehlen. Auch hier sollten IT-Verantwortliche schnell handeln. Etwa die populäre Virtualisierungssoftware VM Virtualbox weist mehrere hochriskante Schwachstellen auf. Die bessern die nun verfügbaren Updates auf Virtualbox 7.2.4 respektive 7.1.14 aus.

Sicherheitslücken in Oracle-Produkten sind bei Cyberkriminellen begehrt. Erst vergangene Woche musste Oracle außer der Reihe Schwachstellen in der Oracle E-Business-Suite ausbessern. Neben der bereits angegriffenen Zero-Day-Lücke CVE-2025-61882, die mit einem CVSS-Wert von 9.8 als „kritisch“ gilt, hatten die Entwickler noch eine weitere gefunden. Die Schwachstelle CVE-2025-61884, eine Server-Side-Request-Forgery, hat als Risikoeinstufung zwar lediglich den CVSS-Wert 7.5, Risiko „hoch„, erhalten. Aber auch die hat die US-Cybersicherheitsbehörde CISA inzwischen in den „Known Exploited Vulnerabilities“-Katalog aufgenommen, das heißt, sie wird bereits aktiv im Netz angegriffen. Die ältere Lücke wurde zudem für Erpressungsversuche mit Ransomware missbraucht.

Der nächste planmäßige Oracle-Critical-Patch-Update-Tag findet am 20. Januar 2026 statt.

(dmk)

Mitte Oktober hat Microsoft den Support für Windows 10 eingestellt. Nutzer*innen müssten also auf die nächste Windows-Version upgraden – oder sich für ein anderes Betriebssystem entscheiden. Und das besser gestern als heute, wenn sie sich keine Malware einfangen wollen. Wer den Umstieg nicht schafft, kann sich zumindest für begrenzte Zeit noch für grundlegende Sicherheitsupdates (ESU) registrieren.

Auch die Bundesverwaltung nutzt Windows 10, scheint sich auf die Umstellung jedoch bislang kaum vorbereitet zu haben. Sascha H. Wagner, Bundestagsabgeordneter der Linkspartei und im Haushaltsausschuss, hat beim Bundesministerium für Finanzen nachgefragt: Wie viele Rechner laufen mit Windows 10? Wie viel wird die Umstellung auf Windows 11 kosten? Bis wann sollen diese Rechner mit Windows 11 ausgestattet sein?

Auf diese Fragen erhielt er jedoch keine Antwort. Denn entsprechende Informationen liegen nicht gesammelt und verfügbar vor. Um sie beantworten zu können, müsste das zuständige Bundesministerium für Digitales und Staatsmodernisierung erst „umfangreiche Erhebungen“ vornehmen, so das BMF in seinem nicht-öffentlichen Antwortschreiben.

Keine Ressourcen, um betroffene Rechner zu zählen

Auch die Fragen, wie viele Rechner der Bundesverwaltung mit dem Support-Ende von Windows 10 unbrauchbar werden und wie teuer es wird, neue Geräte mit Windows 11 anzuschaffen, lässt das BMF offen.

Der Aufwand, hierzu Informationen einzuholen, übersteige den Umfang einer „ansonsten üblichen Einzelberichtsanforderung“, heißt es. Linken-Politiker Wagner sagt: „Dass das Digitalministerium unter Karsten Wildberger nicht weiß, wie der erzwungene Umstieg von Windows 10 auf Windows 11 in der Bundesverwaltung umgesetzt wird, ist erschreckend.“

Dabei wurde ein zentrales Lizenzmanagment für den Bund schon im Jahr 2019 beschlossen. Fortschritte verspricht der Bund seit Jahren. Die Idee hinter dem lange angekündigten Projekt ist, dass Bundesbehörden Informationen zu Lizenzen offen einsehen können.

Nicht zuletzt die Kritik des Bundesrechnungshofs gab hier den Ausschlag: Der bemängelte mehrfach (PDF), dass Transparenz zwischen Bundesbehörden fehle. Das wiederum führe dazu, dass Behörden Software häufig nicht wirtschaftlich einsetzen. Dabei käme es häufiger zu Über- oder Unterlizenzierungen. Wüssten Behörden, was andere einkaufen und zu welchen Konditionen, könnten sie Lizenzen zwischen Behörden tauschen und hätten auch bei Einkaufsgesprächen eine bessere Verhandlungsposition.

Keine Ressourcen, um Lizenzen zentral zu verwalten

Doch der Plan einer Zentralstelle konnte laut BMF „mangels entsprechender Ressourcen“ bislang nicht umgesetzt werden. Es gibt also noch immer keine zentrale Stelle, die Informationen zu Lizenzen bei den Ministerien und anhängigen Behörden einfordert und zentral veröffentlicht. Zwar könnten Behörden inzwischen über ein Lizenzverwaltungstool ein rechtssicheres und wirtschaftliches Lizenzmanagement aufbauen, so das BMF. Doch seien Behörden nicht dazu verpflichtet, eines zu betreiben.

Statt das Projekt des Lizenzmanagements für den Bund weiter voranzubringen, will das BMDS nun einen zentralen Datenpool im Bund aufbauen. Darin sollen laut BMF auch die Lizenzinformationen der einzelnen Häuser zusammenlaufen.

Das Support-Ende von Windows 10 bringt den Bund samt Verwaltung hier anscheinend nicht aus der Ruhe. Das könnte daran liegen, dass Microsoft zumindest Sicherheitsupdates weiter fließen lässt – für Organisationen und Behörden können dabei jedoch pro Gerät Kosten anfallen. Dabei müsste es eigentlich darum gehen, „die Abhängigkeit und die explodierenden Kosten für Microsoft-Produkte zu reduzieren“, so Wagner.

Die Firewall-Serien ATP, USG FLEX und USG FLEX 50(W)/USG20(W)-VPN sind verwundbar. Angreifer können an zwei Sicherheitslücken ansetzen. Um Instanzen abzusichern, sollten Admins das verfügbare Sicherheitsupdate installieren.

Die Gefahren

Beide Schwachstellen (CVE-2025-8078, CVE-2025-9133) sind mit dem Bedrohungsgrad „hoch“ eingestuft. Im ersten Fall müssen Angreifer bereits über Administratorrechte verfügen, um eigene Befehle auf Systemebene ausführen zu können. In dieser Position steht ihnen aber ohnehin schon Tür und Tor offen.

Im zweiten Fall müssen Angreifer den ersten Abschnitt der Einrichtung zur Zwei-Faktor-Authentifizierung abgeschlossen haben. Ist das gegeben, können sie Systemkonfigurationen einsehen und herunterladen.

Instanzen schützen

Auch wenn es bislang keine Berichte zu Attacken gibt, sollten Admins das Sicherheitsupdate ZDL V5.41 zeitnah installieren. In einer Warnmeldung geben die Entwickler an, dass die ZDL-Ausgaben V4.32 bis einschließlich V5.40 von den Sicherheitslücken betroffen sind.

Zuletzt haben die Entwickler im April dieses Jahres Sicherheitsupdates für Firewalls veröffentlicht.

(des)