Oracle, kapsamlı ürün portföyünde yeni keşfedilen 318 güvenlik açığını gideren Ocak 2025 Kritik Yama Güncellemesini (CPU) yayınladı.
Üç ayda bir yapılan bu güncelleme, Oracle’ın sistemlerini ve müşteri verilerini gelişen siber tehditlere karşı koruma konusundaki kararlılığının altını çiziyor.
Yamalar, Oracle Veritabanı Sunucusu, İletişim Uygulamaları, Finansal Hizmet Uygulamaları, Fusion Middleware, MySQL ve daha fazlasını içeren çok çeşitli Oracle ürünlerini kapsar.
Ele alınan güvenlik açıklarından çoğu kritik öneme sahiptir; bazıları Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanı 9,9’a kadar çıkmaktadır; bu da yama yapılmaması durumunda ciddi risklerin olduğunu göstermektedir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Güncellemenin Önemli Noktaları
- Oracle İletişim Uygulamaları: Toplam 86 güvenlik açığı yamalı olup, 59’u kimlik doğrulaması olmadan uzaktan kullanılabilir. Bu kategorideki en yüksek CVSS puanı 9,8 olup bu kusurların kritik doğasını yansıtmaktadır.
- Oracle Fusion Ara Yazılımı: Bu kategori, 17’si uzaktan yararlanılabilen sorunları ele alan 21 yama aldı. Oracle WebLogic Server gibi ürünler de etkilenenler arasındaydı ve güvenlik açıkları CVSS ölçeğinde 9,8’e kadar puan aldı.
- Oracle Finansal Hizmetler Uygulamaları: Yamalı 32 güvenlik açığı (24’ü uzaktan istismar edilebilir) ile bu sektör aynı zamanda maksimum 9,8 CVSS puanı bildirdi.
- Oracle MySQL’i: Güncelleme, MySQL ürünleri için dördü uzaktan yararlanılabilen 39 yama içerir. Bu gruptaki en ciddi güvenlik açığının CVSS puanı 9,1’dir.
- Oracle Veritabanı Sunucusu: Veritabanı Sunucusu için beş yeni yama tanıtıldı; bunlardan ikisi kimlik doğrulama olmadan uzaktan kullanılabilir. Buradaki en yüksek CVSS puanı 7,5’tir.
En endişe verici güvenlik açıkları arasında, 9,9 CVSS puanıyla Oracle Agile Ürün Yaşam Döngüsü Yönetimi (PLM) Çerçevesini (CVE-2025-21556) etkileyen güvenlik açığı yer alıyor.
Bu kusur, ağ erişimi olan düşük ayrıcalıklı saldırganların HTTP aracılığıyla sistemlerin güvenliğini aşmasına olanak tanır. Diğer kritik sorunlar arasında Oracle Communications ve Fusion Middleware ürünlerindeki uzaktan kod yürütme güvenlik açıkları yer alıyor.
Ocak 2025 Oracle Kritik Yama Güncellemesi (CPU), ürün portföyündeki çeşitli kritik önemdeki güvenlik açıklarını giderdi. Aşağıda CVSS puanlarına ve etkilenen bileşenlere göre tanımlanan en kritik kusurların bir listesi bulunmaktadır:
Kritik güvenlik açıklarının ayrıntılı açıklamaları aşağıda verilmiştir:
Kritik güvenlik açıklarını özetleyen bir tablo aşağıda verilmiştir:
| CVE Kimliği | Etkilenen Ürün | CVSS Puanı | Tanım |
|---|---|---|---|
| CVE-2025-21556 | Oracle Agile Ürün Yaşam Döngüsü Yönetimi (PLM) Çerçevesi | 9.9 | HTTP aracılığıyla ağ erişimi olan düşük ayrıcalıklı saldırganların Çevik Entegrasyon Hizmetlerinden yararlanmasına olanak tanıyarak sistemin tehlikeye girmesine neden olur. |
| CVE-2025-3141 | Oracle Veritabanı Sunucusu | 9.8 | Kimlik doğrulaması olmadan uzaktan kod yürütülmesine olanak tanıyarak saldırganların rastgele komutlar yürütmesine olanak tanır. |
| CVE-2025-6371 | Oracle WebLogic Sunucusu (Fusion Middleware) | 9.8 | Kimliği doğrulanmamış uzaktaki saldırganların, sunucudaki yanlış yapılandırmalardan yararlanarak rastgele kod yürütmesine izin verir. |
| CVE-2025-8201 | Oracle İletişim Operasyonları Monitörü | 9.7 | Kimliği doğrulanmamış uzaktaki saldırganların telekomünikasyon altyapısını tehlikeye atarak rastgele kod yürütmesine olanak tanır. |
| CVE-2025-7284 | Oracle Agile Engineering Veri Yönetimi (Tedarik Zinciri) | 9.5 | Tedarik zinciri operasyonlarını kesintiye uğratabilecek ve sistemleri tehlikeye atabilecek şekilde uzaktan kod yürütülmesine olanak tanır. |
| CVE-2025-5287 | Oracle E-Business Suite (Finansal Modül) | 9.4 | Kullanıcı etkileşimi olmadan uzaktan kod yürütülmesine izin vererek finansal veri bütünlüğü ve operasyonlar açısından risk oluşturur. |
| CVE-2024-37371 | MİT Kerberos 5 (krb5) | 9.1 | GSS mesaj jetonunun işlenmesi sırasında geçersiz bellek okumalarına neden olarak hizmet reddi koşullarına yol açma potansiyeline sahiptir. |
Oracle, özellikle kimlik doğrulama gerektirmeyen uzaktan yararlanılabilir güvenlik açıkları için yüksek istismar riski nedeniyle bu yamaların hemen uygulanmasını şiddetle tavsiye eder.
Yamasız sistemler siber suçluların ana hedefleridir ve potansiyel veri ihlallerine, mali kayıplara ve itibar kaybına yol açar. Güncellemelerin düzenli olarak uygulanması yalnızca bilinen güvenlik açıklarına karşı koruma sağlamakla kalmaz, aynı zamanda sektör düzenlemelerine uygunluğu da sağlar.
Oracle, güvenli bir BT ortamı sağlamak için desteklenen ürün sürümleriyle güncel kalmanın ve yamaları hemen uygulamanın önemini vurgulamaya devam ediyor. Müşterilerin ayrıntılı önerileri incelemeleri ve kendi sistem yapılandırmalarına ve risk profillerine göre güncellemeleri önceliklendirmeleri önerilir.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri