Oracle październik 2025: 374 poprawek, ~170 CVE i kilkaset RCE bez uwierzytelnienia - Security Bez Tabu

Oracle październik 2025: 374 poprawek, ~170 CVE i kilkaset RCE bez uwierzytelnienia

Wprowadzenie do problemu / definicja luki

Oracle opublikował kwartalny Critical Patch Update (CPU) – październik 2025, dostarczając 374 nowe poprawki bezpieczeństwa dla szerokiego portfolio produktów. W paczce znajdują się dziesiątki podatności zdalnie wykorzystywalnych bez uwierzytelnienia (RCE/unauthenticated), a także luki o krytycznej ważności (CVSS 9.8–10). CPU pojawił się 21 października 2025 r. (Rev 1).

W skrócie

  • 374 poprawek obejmujących m.in. Database, Fusion Middleware/WebLogic, E-Business Suite, MySQL, Java SE, GoldenGate i inne.
  • Około 170 unikalnych CVE; ~40 „krytycznych”; ponad 230 podatności zdalnych bez uwierzytelnienia.
  • CPU ukazał się tuż po awaryjnych łatkach dla Oracle E-Business Suite (CVE-2025-61882), które łatały aktywnie wykorzystywaną lukę RCE.

Kontekst / historia / powiązania

Październikowy CPU domyka cykl aktualizacji 2025. Zgodnie z harmonogramem Oracle, zbiorcze aktualizacje pojawiają się w trzeci wtorek stycznia, kwietnia, lipca i października; edycja październikowa otrzymała oznaczenie Rev 1 z 21 października 2025 r.. Dla klientów E-Business Suite ważne: na kilkanaście dni przed CPU Oracle wydał pilny alert i łatkę dla CVE-2025-61882 (RCE bez uwierzytelnienia), a także publikował kolejne ostrzeżenia w związku z łańcuchami nadużyć wymierzonych w EBS.

Analiza techniczna / szczegóły luki

Z publicznie dostępnych matryc ryzyka i przeglądów wynika, że:

  • Database & ekosystem – łącznie 18 poprawek w obrębie grupy „Oracle Database Products” (w tym m.in. 6 dla Oracle Database, 6 dla GoldenGate, 4 dla Essbase); część błędów możliwa do zdalnej eksploatacji bez logowania.
  • Szeroka skala RCE bez uwierzytelnienia – redakcje i analitycy zliczyli >230 takich przypadków w całym CPU; ~12 luk o wadze „krytycznej”. (Różnice w liczbach wynikają z konsolidacji CVE i poprawek składowych).
  • Korelacja z E-Business SuiteCVE-2025-61882 (HTTP RCE bez auth) była aktywnie wykorzystywana i dostała dedykowany alert/łatkę przed CPU; CPU włącza poprawki wzmacniające zabezpieczenia EBS.
  • Skala CVE – niezależna analiza branżowa podaje ~170 unikalnych CVE w tym CPU oraz ~40 krytycznych poprawek.

Uwaga: Oracle tradycyjnie publikuje matryce ryzyka per produkt. Liczby „unikalnych CVE” vs. „liczba poprawek” różnią się, bo jedna poprawka może adresować kilka CVE lub odwrotnie (ten sam CVE w wielu produktach).

Praktyczne konsekwencje / ryzyko

  • Ataki bez interakcji użytkownika: liczne podatności zdalnie wykorzystywalne bez logowania zwiększają prawdopodobieństwo automatyzowanych skanów/eksploatacji tuż po publikacji PoC.
  • Ryzyko łańcuchowe: komponenty middleware (np. WebLogic/Fusion Middleware) i integracyjne (GoldenGate) często pełnią rolę „mostów” między strefami – pojedyncze RCE może skutkować eskalacją między systemami. (Wniosek na bazie zakresu produktów w CPU).
  • Kontynuowane nadużycia EBS: po CVE-2025-61882 spodziewane są próby „dowiezienia” eksploatacji na systemach niezałatanych.

Rekomendacje operacyjne / co zrobić teraz

  1. Priorytetyzacja patchowania (T+0/T+7)
    • T0: systemy internet-facing i strefy DMZ: E-Business Suite, WebLogic/Fusion Middleware, REST Data Services, GoldenGate, Java SE – wszędzie tam, gdzie występują RCE bez auth.
    • T+7: Database/Essbase/MySQL i pozostałe komponenty wewnętrzne, z zachowaniem okien serwisowych.
  2. Backport vs. upgrade – stosuj patch set zgodny z wersją wspieraną przez Oracle (CPU Rev 1), unikaj własnych „hotfixów”. Zweryfikuj matryce ryzyka dla poszczególnych produktów.
  3. Higiena ekspozycji: ogranicz HTTP/HTTPS do niezbędnych ścieżek, wymuś TLS aktualny, rozważ WAF/RASP dla EBS i WebLogic do czasu pełnego wdrożenia łatek. (Wniosek oparty na charakterze RCE bez auth).
  4. Hunting i kontrola kompromitacji: po EBS-RCE (CVE-2025-61882) przeprowadź retrospektywny przegląd logów pod kątem anomalii w ruchu HTTP do komponentu Concurrent Processing oraz nieoczekiwanych zadań/batchy.
  5. Skanowanie zgodności: zsynchronizuj pluginy skanerów (np. Tenable/Nessus) – dostawcy opublikowali już treści wykryciowe dla CPU Oct 2025.
  6. Zarządzanie ryzykiem dostawców: uzyskaj oświadczenia kompatybilności od vendorów integrujących się z Oracle (ESB/ETL/ERP add-ons), zanim wdrożysz łatki w produkcji. (Dobra praktyka przy szerokim CPU).

Różnice / porównania z innymi przypadkami

  • Skala RCE bez auth w tym CPU jest ponadprzeciętna na tle typowych kwartalnych wydań Oracle – SecurityWeek wskazuje >230 takich błędów; Tenable zlicza ~170 CVE ogółem i ~40 krytycznych. (Różne metodologie zliczania).
  • Poprzedzające alerty EBS (CVE-2025-61882) nadają CPU charakter „defense-in-depth” wobec aktywnych kampanii – rzadziej obserwowane w „standardowych” kwartalnych pakietach.

Podsumowanie / kluczowe wnioski

  • Nie odkładaj: priorytetem są systemy wystawione do Internetu i komponenty middleware.
  • CPU Oct 2025 to 374 poprawki, ~170 CVE, ~40 krytycznych, z dużym udziałem RCE bez uwierzytelnieniaokno ryzyka po publikacji PoC może być krótkie.
  • E-Business Suite: sprawdź, czy wdrożono zarówno awaryjną łatkę (CVE-2025-61882), jak i poprawki z CPU.

Źródła / bibliografia

  • Oracle Critical Patch Update Advisory – October 2025 (matryce ryzyka per produkt). (oracle.com)
  • Oracle – Critical Patch Updates, Security Alerts and Bulletins (harmonogram i wersje CPU; Rev 1 z 21.10.2025). (oracle.com)
  • SecurityWeek – Oracle Releases October 2025 Patches (liczby poprawek, RCE bez auth, krytyczne luki). (SecurityWeek)
  • Tenable Research – Oracle October 2025 CPU Addresses ~170 CVEs (liczba CVE i krytycznych). (Tenable®)
  • Oracle Security Alert – CVE-2025-61882 (E-Business Suite, RCE bez auth). (oracle.com)