Oracle Patchday Oktober 2025: 131 Produkte benötigen kritische Updates

Oracle Patchday Oktober 2025 Leicht ausnutzbare Sicherheitslücken bei Oracle

23.10.2025 Von Melanie Staudacher 4 min Lesedauer

Beim Oracle Patchday im Oktober 2025 sind 131 Produkte von Sicherheitslücken betroffen. Besonders kritisch ist die Lage bei Oracle Communications, doch auch E Business Suite, Identity Manager und MySQL Workbench benötigen sofortige Updates.

Einige Sicherheitslücken, die Oracle bei seinem Patchday im Oktober schließt, sollten schnellstmöglich von Admins bearbeitet werden, da sie offizielle als leicht auszunutzen gelten.(Bild: © Egor - stock.adobe.com) — Einige Sicherheitslücken, die Oracle bei seinem Patchday im Oktober schließt, sollten schnellstmöglich von Admins bearbeitet werden, da sie offizielle als leicht auszunutzen gelten.
(Bild: © Egor - stock.adobe.com)

Beim Oracle Patchday im Oktober waren dieses Mal 131 Produkte beziehungsweise Komponenten von Sicherheitslücken betroffen. Dabei waren auch einige kritische Schwachstellen, die dringend geschlossen werden sollten. Besonders hart trifft es in diesem Monat die Produkte der Linie Oracle Communications. Diese umfasst die Telekommunikationslösungen des Herstellers. Auch für die E-Business Suite erhält weitere Patches, nachdem Oracle Anfang Oktober für die Sicherheitslücke CVE-2025-61882 ein Notfall-Update veröffentlicht hatte. Und auch der Oracle Identity Manager und MySQL Workbench erhalten Patches für kritische Sicherheitslücken.

Die Oracle E-Business Suite ist in den Versionen 2.2.3 bis 12.2.14 von einer kritischen Sicherheitslücke betroffen. Admins sollten sofort patchen. (Bild: Westlight - stock.adobe.com)

Denial-of-Service-Angriffe auf Oracle Communications Suite möglich

Insgesamt sind es drei kritische Sicherheitslücken in den Produkten der Communications Suite: CVE-2025-6965, CVE-2024-37371 und CVE-2025-49796. Letztere beschreibt eine Schwachstelle in „libxml2“, eine externe Open-Source-C-Bibliothek, die Oracle in viele Produkte integriert, um XML-Dateien einzulesen, zu parsen und zu verarbeiten. Ein Fehler in der Verarbeitung der Dateien betrifft das Converged Charging System sowie das Unified Inventory Management. Bei erfolgreicher Ausnutzung von CVE-2025-49796 können Cyberkriminelle schädliche XML-Eingabedateien erstellen, die zum Absturz von libxml und Speicherbeschädigungen führen können.

Bei CVE-2024-37371 handelt es sich um einen Fehler im Umgang mit GSS-Nachrichtentoken (Generic Security Services) in MIT Kerberos 5. Bei erfolgreicher Ausnutzung der Schwachstelle können Cyberangreifer ungültige Speicherlesevorgänge verursachen, indem sie Nachrichtentoken mit ungültigen Längenfeldern senden. Doch am gefährlichsten ist die Sicherheitslücke CVE-2025-6965. Diese betrifft die Produkte

OFS Compliance Studio,

MySQL Workbench,

Communications Converged Charging System,

Communications Convergent Charging Controller,

Communications Messaging Server,

Communications Unified Assurance,

Communications Network Charging & Control,

Cloud Native Core Policy sowie

Cloud Native Core Unified Data Repository.

Dieser Schwachstelle zugrunde liegt ein Fehler in der SQLite-Datenbank-Bibliothek, die in einigen Oracle-Produkten als lokaler Datenspeicher eingesetzt wird. In älteren Versionen vor 3.50.2 können speziell konstruierte Abfragen zu Speicherkorruption führen. Bei erfolgreicher Ausnutzung von CVE-2025-6965 könnte der Fehler sogar zu Denial of Service und somit einem Absturz der Bibliothek führen.

Mit Outside In Technology ist eine weitere Bibliothek, die von Oracle eingesetzt wird, von einer kritischen Schwachstelle betroffen. Die Schwachstelle CVE‑2023‑45853 beruht auf einem Integer-Überlauf in der Komponente „MiniZip“ der Bibliothek „zlib“, bei dem zu lange Dateinamen oder Zusatzfelder dazu führen, dass der Zahlenbereich überschritten wird. Dadurch entsteht ein Heap-basierter Pufferüberlauf, der einen Absturz oder sogar die Ausführung beliebigen Codes ermöglichen kann.

Vier Mal im Jahr veröffentlicht Oracle Critical Patch Updates (CPUs) und Patch Set Updates (PSUs). (Bild: eakgrungenerd - stock.adobe.com)

Leicht ausnutzbare Sicherheitslücken im Identity Manager und der E-Business Suite

Als eine leicht ausnutzbare Sicherheitslücke beschreibt CVE.org CVE-2025-61757 im Oracle Identity Manager. Sie betrifft die REST-Webservices in den Versionen 12.2.1.4.0 und 14.1.2.1.0. Die Schwachstelle ermöglicht es nicht authentifizierten Cyberangreifern mit Netzwerkzugriff über HTTP den Identity Manager zu kompromittieren. Erfolgreiche Angriffe über diese Sicherheitslücke können außerdem zur Übernahme des Managers führen.

Nachdem die Sicherheitslücke CVE-2025-61882 Anfang Oktober für Aufregung bei Nutzern der E-Business Suite sorgte, folgen nun beim Patchday nun zwei weitere Patches für kritische Sicherheitslücken in der Lösung. CVE-2025-53072 und CVE-2025-62481 betreffen beide die Komponente Marketing Administration der E-Business Suite. Die Lösung dient dazu, Kampagnen, Zielgruppen, Budgets, Leads und Marketingressourcen zu planen, zuzuweisen und zu überwachen. Beide Sicherheitslücken werden wie auch die im Identity Manager von CVE.org als leicht auszunutzen beschrieben, denn sie ermöglichen es nicht authentifizierten Angreifern mit Netzwerkzugriff über HTTP, Oracle Marketing zu kompromittieren. Erfolgreiche Cyberangriffe können zur Übernahme von Accounts führen.

Alle kritischen Sicherheitslücken des Oracle Patchdays vom Oktober 2025 finden Sie in dieser Übersicht:

Oracle CPU Oktober 2025 – Kritische Sicherheitslücken

Oracle CPU Oktober 2025 – Kritische Sicherheitslücken (CVSS ≥ 9.0)

CVE	Produkt(e)	Komponente	CVSS	Betroffene Version
CVE-2025-61757	Oracle Identity Manager	REST WebServices	9.8	12.2.1.4.0, 14.1.2.1.0
CVE-2023-45853	Oracle Outside In Technology	zlib	9.8	8.5.7, 8.5.8
CVE-2025-53072	E-Business Suite	Marketing Administration	9.8	12.2.3–12.2.14
CVE-2025-62481	E-Business Suite	Marketing Administration	9.8	12.2.3–12.2.14
CVE-2024-52577	GoldenGate Stream Analytics	Apache Ignite	9.8	19.1.0.0.0–19.1.0.0.11
CVE-2024-52046	JD Edwards Tools	Apache Mina	9.8	9.2.0.0–9.2.9.4
CVE-2025-31651	Siebel CRM Deployment	Apache Tomcat	9.8	bis 25.8 / 25.10
CVE-2025-53037	OFS Analytical Applications Infra	Platform	9.8	8.0.7.9, 8.0.8.7, 8.1.2.5
CVE-2025-6965	OFS Compliance Studio	Reports (SQLite)	9.8	8.1.2.8
CVE-2025-6965	MySQL Workbench	SQLite	9.8	8.0.0–8.0.43
CVE-2025-6965	Communications Converged Charging System	Installation (SQLite)	9.8	2.0.0.0.0–2.0.0.1.0
CVE-2025-6965	Communications Convergent Charging Controller	Data Access Pack (SQLite)	9.8	12.0.x–15.1.0.0.0
CVE-2025-6965	Communications Messaging Server	Security (SQLite)	9.8	8.1.0.28
CVE-2025-6965	Communications Unified Assurance	Core (SQLite)	9.8	6.1.0–6.1.1
CVE-2025-6965	Communications Network Charging & Control	Data Access Pack (SQLite)	9.8	12.0.x–15.1.0.0.0
CVE-2025-6965	Cloud Native Core Policy	Alarms/KPI (SQLite)	9.8	24.2.7–25.1.200
CVE-2025-6965	Cloud Native Core Unified Data Repo	ATS Framework (SQLite)	9.8	25.1.200
CVE-2025-4517	PeopleSoft PeopleTools	Python-Porting	9.4	8.60–8.62
CVE-2025-49796	Cloud Native Core, UIM, MySQL	libxml2	9.1	24.2.x–25.1.x / 7.7.0–7.8.0 / 8.0.43
CVE-2024-37371	Communications Converged Charging System	Kerberos	9.1	2.0.0.0.0–2.0.0.1.0

Der Microsoft Patchday ist immer am zweiten Dienstag des Monats. (Bild: Sahir_Stock - stock.adobe.com)

Das Patchday-Jahr 2025 hat begonnen: Im Januar schließt SAP insgesamt 16 Sicherheitslücken. (Bild: Kiattisak - stock.adobe.com)

Indem er eine Schwachstelle im Oracle Access Manager ausnutzte, will ein anonymer Cyberkrimineller sechs Millionen Datensätze von über 140.000 Oracle-Mandanten gestohlen haben. (Bild: Westlight - stock.adobe.com)

(ID:50596886)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.