2025-1893: Oracle Datenbank-Produkte: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software

Historie:

Version 1 (2025-07-16 10:54): Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um die Software vollständig zu kompromittieren, Dateien zu manipulieren, Informationen auszuspähen und beliebigen Programmcode auszuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Oracle veröffentlicht anlässlich des Patchtags im Juli 2025 Sicherheitsupdates für die unterstützten Oracle Database Server Versionen 19.3 bis 19.27, 21.3 bis 21.18 und 23.4 bis 23.8 zur Behebung der Schwachstellen. Für 'Client-only'-Installationen steht ein Sicherheitsupdate bereit, um die Schwachstelle CVE-2025-50070 zu beheben.

Mit der Behebung der Schwachstelle CVE-2025-27363 wird auch die Schwachstelle CVE-2023-1436 adressiert. Außerdem werden mit den verfügbaren Sicherheitsupdates eine Reihe weiterer Schwachstellen in verschiedenen Komponenten behoben, die im Kontext des Oracle Database Servers allerdings nicht ausgenutzt werden können.

Schwachstellen:

CVE-2025-27363

Schwachstelle in FreeType ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-30750

Schwachstelle in Oracle Database Server ermöglicht Manipulation von Daten

CVE-2025-30751

Schwachstelle in Oracle Database Server ermöglicht komplette Kompromittierung der Software

CVE-2025-50066