Nach der Ankündigung seitens Oracle, dass in Zukunft Security Patches monatlich erscheinen – siehe Blog Oracle erhöht die Security Patch Frequenz – hat Oracle das Versprechen letzte Nacht eingelöst.
Der erste Critical Security Patch Update (CSPU) wurde veröffentlicht, hier die Fakten:
- Der CSPU wird als integraler Bestandteil des MRP – Monthly Recommended Patch – ausgeliefert. Das ist eine sinnvolle Lösung, dass man nicht jedes Monat gleich zwei verschiedenen Patches einspielen muss.
- Da es den MRP nur für Linux x86_64 gibt, stehen somit die CSPUs auch nur für diese Plattform zur Verfügung.
- Der CSPU berücksichtigt aktuell (Mai 2026) folgende Produkte:
- Oracle REST Data Service 26.1.2 mit folgenden CVEs: CVE-2026-46840, CVE-2026-46775, CVE-2026-46839, CVE-2026-2332, CVE-2026-5795, CVE-2026-35277, CVE-2026-35266, CVE-2026-46829, CVE-2026-46842, CVE-2026-46843, CVE-2026-46841, CVE-2026-46830, CVE-2026-4800
- Oracle Datenbank 23ai (23.6 only) mit dem MRP 23.6.1.0.0 (May 2026, Patch 39345746) für folgende CVEs: CVE-2026-46833, CVE-2026-46834, CVE-2026-46835
- Oracle AI Datenbank 26ai mit dem MRP 23.26.2.0.0 (May 2026, Patch 39345754) für folgende CVEs: CVE-2026-46833, CVE-2026-46834, CVE-2026-46835
- Oracle Database Client 23.26.2 mit dem Database MRP 23.26.0.0 (May 2026, Patch 39444854) für folgende CVEs: CVE-2026-46833, CVE-2026-46834, CVE-2026-46835
- Oracle REST Data Service 26.1.2 mit folgenden CVEs: CVE-2026-46840, CVE-2026-46775, CVE-2026-46839, CVE-2026-2332, CVE-2026-5795, CVE-2026-35277, CVE-2026-35266, CVE-2026-46829, CVE-2026-46842, CVE-2026-46843, CVE-2026-46841, CVE-2026-46830, CVE-2026-4800
Weitere Produkte, Releases(zb: Datenbank 19c) oder Plattformen (wie AIX, ARM Linux,…) werden aktuell nicht unterstützt!
Hoffen wir einmal, dass Oracle in Zukunft zumindest weitere Produkte und Releases unterstützen wird. Die Verbreitung der Oracle AI Datenbank 26ai ist aktuell ja noch überschaubar.