Oracle Critical Patch Update

Critical Patch Update - April 2020

Erscheinungsdatum: 14. April 2020

Der aktuelle CPU Patch für die Oracle Datenbank beinhaltet insgesamt 10 Security Fixes die alle Oracle Datenbank Produkte betreffen,

  • 8 Fixes für den Oracle Database Server
  • 1 Fix für Oracle Global Lifecycle Management
  • 1 Fix für Oracle Secure Backup

3 dieser insgesamt 10 Security Fixes können Remote ohne Authentifizierung eines Benutzers, sprich ohne Benutzername/Passwort, ausgenutzt werden.


Dieser Critical Patch Update ist für nachfolgende Versionen konzipiert:

  • 11.2.0.4
  • 12.1.0.2
  • 12.2.0.1
  • 18c
  • 19c


Details über die behobenen Schwachstellen des Oracle Database Server

 Anzahl Betroffene Datenbank
  Komponente
 Min./Max. CVSS Base Score Höchstes betroffenes Patchset
  eines supporteten RDBMS-Releases
  Remote Exploit
  ohne Authentifizierunga
 Bemerkung
 1 Java VM 8.0 11.2.0.4, 12.1.0.2, 12.2.0.1,  18c, 19c Nein 
 1 Oracle Multimedia 8.0 12.1.0.2 Nein 
 1 Core RDBMS 6.4 11.2.0.4, 12.1.0.2, 12.2.0.1,  18c, 19c Nein 
 1 WLM
 (Apache Tomcat)
 7.5 12.2.0.1,  18c, 19c Ja 
 1 Oracle Text 6.3 11.2.0.4, 12.1.0.2, 12.2.0.1,  18c, 19c Nein 
 2 APEX
 (Application Express)
 4.6 / 6.1 alle bis 19.1 Ja / Nein 
1RDBMS / Optimizer 2.4 12.1.0.2, 12.2.0.1,  18c, 19c Nein 


Details über die behobenen Schwachstellen des Oracle Global Lifecycle Management

 Anzahl Betroffene Datenbank
  Komponente
 Min./Max. CVSS Base Score Höchstes betroffenes Patchset
  eines supporteten RDBMS-Releases
  Remote Exploit
  ohne Authentifizierunga
 Bemerkung
 1 Oracle Global
 Lifecycle Management
 OPatch
 0.0 alle bis 11.2.0.3.23,
 alle bis 12.2.0.1.19,
 alle bis 13.9.4.2.1
 Nein 1)

1) Die CVE-Nummern, auf die sich dieser Patch beziehen, können in keinem Oracle Produkt ausgenutzt werden, der CVSS-Wert beträgt daher 0.0

Details über die behobenen Schwachstellen des Oracle Secure Backup

 Anzahl Betroffene Datenbank
  Komponente
 Min./Max. CVSS Base Score Höchstes betroffenes Patchset
  eines supporteten RDBMS-Releases
  Remote Exploit
  ohne Authentifizierunga
 Bemerkung
 1 Oracle
 Secure Backup
 6.1 alle bis 18.1 Ja 

 

Generell gilt: Sollten Sie die in der Spalte "Betroffene Datenbank Komponente" aufgeführte Komponente in Ihrer Datenbank gar nicht installiert haben, so ist Ihre Datenbank von diesem Problem auch nicht betroffen.

Nachfolgende Bugs wurden mit diesem Critical Patch Update behoben:

CVE-2016-7103
CVE-2016-10251

CVE-2018-5712 - Oracle Secure Backup

CVE-2019-2853
CVE-2019-17563
CVE-2019-20330 - Oracle Global Lifecycle Management

CVE-2020-2514
CVE-2020-2734
CVE-2020-2735
CVE-2020-2737

Weitere betroffene CVEs:

Der Patch für CVE-2016-7103 betrifft auch CVE-2015-9251, CVE-2019-11358.
Der Patch für CVE-2019-17563 betrifft auch CVE-2019-12418.
Der Patch für CVE-2016-2853 betrifft auch CVE-2019-2756, CVE-2019-2759, CVE-2019-2852

Der Patch für CVE-2019-20330 betrifft auch CVE-2016-4000, CVE-2016-4463, CVE-2018-1000873, CVE-2018-11307, CVE_2018-12023, CVE-2018-1320, CVE-2018-14718, CVE-2018_14719, CVE-2018-14720, CVE-2018-14721, CVE-2018-19360, CVE-2018-19361, CVE-2018-19362, CVE-2019-12086, CVE-2019-12384, CVE-2019-14379, CVE-2019-14439, CVE-2019-14540,. CVE-2019-16335 und CVE-2020-8840

 

Weitere Informationen finden Sie hier:

Öffnet externen Link in neuem FensterOracle Critical Patch Update Advisory - April 2020

Einspielen eines Critical Patch Update

Ob ein Critical Patch Update eingespielt werden muss oder nicht, hängt neben den CVSS-Scores der Sicherheitslücken vor allem von Ihrer Datenbankversion und der installierten/genutzten Komponenten ab.

Das Einspielen eines Critical Patch Update ist auf jeden Fall als proaktive Maßnahme zu sehen und entsprechend zu behandeln.

Wir analysieren und testen jeden Critical Patch Update, sobald er verfügbar ist. Die Tests erfolgen mit allen noch zertifizierten Datenbankversionen auf den Betriebssystemen:

  • OEL 6 und 7 (x86-64)
  • Windows Server 2008 R2 und 2012 R2 (x86-64)

Die Ergebnisse dieser Tests helfen uns, die für Sie richtige Entscheidung zu treffen.

Das Einspielen eines Oracle Security Patch sollte auf jeden Fall sorgfältig geplant werden. Idealerweise berücksichtigt man das Einspielen von Patches bereits dem Aufbau der Datenbankserver.

In der Praxis hat sich für das Einspielen dieser Ablauf bewährt:

  • Planung des Vorgehens und Abstimmung mit den beteiligten Stellen
  • Einspielen des Patches in eine (identische) Testumgebung
  • Testen der (wichtigsten) Funktionalitäten und Freigabe
  • Einspielen des Patches in die Produktivumgebung
  • Abschliessende Tests und Freigabe

Nicht jeder hat jedoch gleich ein ausführliches Kochrezept dafür zur Hand. Lassen Sie sich deshalb von unserem erfahrenen Team bei der Planung und Umsetzung helfen. 

Übersicht Critical Patch Update

Opens internal link in current windowHier gelangen Sie zur Übersicht der bisherigen Critical Patch Updates für Oracle Datenbanken.

Jede Menge Know-how für Sie!

In unserer Know-How Datenbank finden Sie mehr als 300 ausführliche Beiträge zu den Oracle-Themen wie DBA, SQL, PL/SQL, APEX und vielem mehr.
Hier erhalten Sie Antworten auf Ihre Fragen.