Erscheinungsdatum: 20. Juli 2021
Der aktuelle CPU Patch von Oracle beinhaltet insgesamt 27 Security Fixes, die folgende Kategorien betreffen:
In einigen Fällen kann die Sicherheitslücke per Remote und ohne Authentifizierung eines Benutzers, sprich ohne Benutzername/Passwort, ausgenutzt werden. Einer dieser Patches betrifft Nur-Client-Installationen, d. h. Installationen, auf denen der Oracle-Datenbank Server nicht installiert ist. Mehr Infos hierzu erhalten Sie in den nachfolgenden Tabellen.
Dieser Critical Patch Update ist für nachfolgende Datenbank-Versionen konzipiert:
| Anzahl | Betroffene Datenbank Komponente | Min./Max. CVSS Base Score | Höchstes betroffenes Patchset eines supporteten RDBMS-Releases | Remote Exploit ohne Authentifizierunga | Bemerkung |
|---|---|---|---|---|---|
| 1 | Advanced Networking Option | 8.3 | 12.1.0.2, 12.2.0.1, 19c | Ja | 1) |
| 1 | Oracle Text | 7.2 | 12.1.0.2, 12.2.0.1, 19c | Nein | |
| 3 | Oracle XML DB | 7.2 | 12.1.0.2, 12.2.0.1, 19c | Nein | |
| 1 | APEX (CKEditor) | 5.4 | alle bis 21.1.00.01 | Nein | |
| 1 | APEX Application Builder (DOMPurify) | 5.4 | alle bis 21.1.00.01 | Nein | |
| 1 | APEX Express Data Reporter (CodeMirror) | 5.4 | alle bis 21.1.00.04 | Nein | |
| 1 | Oracle Spatial and Graph (GDAL) | 4.4 | 12.2.0.1, 19c | Nein | |
| 1 | Core RDBMS | 4.3 | 19c | Nein | |
| 1 | Enterprise Manager | 4.3 | 19c | Nein | |
| 1 | Java VM | 4.3 | 12.1.0.2, 12.2.0.1, 19c | Nein | |
| 3 | Oracle Database Enterprise Edition Data Redaction | 3.5 | 12.1.0.2, 12.2.0.1, 19c | Nein | |
| 1 | Database Vault | 2.7 | 12.2.0.1, 19c | Nein |
1) Das Critical Patch Update vom Juli 2021 führt eine Reihe von Änderungen an der Native Network Encryption ein, um die Schwachstelle CVE-2021-2351 zu beheben und die Verwendung schwächerer Verschlüsselungen zu verhindern. Kunden sollten Folgendes lesen: „Änderungen in der nativen Netzwerkverschlüsselung mit dem Critical Patch Update vom Juli 2021“ (Doc ID 2791571.1)
| Anzahl | Betroffene Datenbank Komponente | Min./Max. CVSS Base Score | Höchstes betroffenes Patchset eines supporteten RDBMS-Releases | Remote Exploit ohne Authentifizierunga | Bemerkung |
|---|---|---|---|---|---|
| 1 | Big Data Graph (OpenCV) | 8.8 | alle bis 2.0 | Ja | |
| 1 | Big Data Graph (Apache Tomcat) | 7.5 | alle bis 23.1 | Ja |
| Anzahl | Betroffene Datenbank Komponente | Min./Max. CVSS Base Score | Höchstes betroffenes Patchset eines supporteten RDBMS-Releases | Remote Exploit ohne Authentifizierunga | Bemerkung |
|---|---|---|---|---|---|
| 3 | Essbase Analytic Provider Services | 10.0 / 8.1 / 7.5 | 11.1.2.4, 21.2 | Ja | |
| 2 | Hyperion Essbase Administration Services | 8.6 / 7.5 / 5.3 / 4.1 | 11.1.2.4, 21.2 | Ja / Nein | |
| 4 | Essbase | 7.5 | 21.2 | Ja |
Generell gilt: Sollten Sie die in der Spalte "Betroffene Datenbank Komponente" aufgeführte Komponente in Ihrer Datenbank gar nicht installiert haben, so ist Ihre Datenbank von diesem Problem auch nicht betroffen.
CVE-2019-17545
CVE-2020-7760
CVE-2020-26870
CVE-2020-27193
CVE-2021-2326
CVE-2021-2328
CVE-2021-2329
CVE-2021-2330
CVE-2021-2333
CVE-2021-2334
CVE-2021-2335
CVE-2021-2336
CVE-2021-2337
CVE-2021-2351
CVE-2021-2438
CVE-2021-2460
Weitere Informationen und eine ausführliche Aufstellung aller ausgelieferter CVEs finden Sie hier:
Hier gelangen Sie zur Übersicht der bisherigen Critical Patch Updates für Oracle Datenbanken.
Das nächste Oracle CPU erscheint am:
16 Juli 2024
In unserer Know-How Datenbank finden Sie mehr als 300 ausführliche Beiträge zu den
Oracle-Themen wie DBA, SQL, PL/SQL, APEX und vielem mehr.
Hier erhalten Sie Antworten auf Ihre Fragen.
Hier gelangen Sie zum aktuellen CPU