Oracle Critical Patch Update

An dieser Stelle informieren wir Sie immer über den aktuellsten Oracle Critical Patch Update für Ihre Oracle Datenbank.

Sie erhalten einen kurzen Überblick über die behobenen Schwachstellen und können dadurch einschätzen, ob dieser Patch für Sie sicherheitsrelevant ist.

Unsere Empfehlung zu Security Patches für Oracle Produkte lautet immer, diese frühzeitig einzuplanen und zeitnah nach deren Veröffentlichung einzuspielen. Denn mit Hilfe spezieller Suchmaschinen im Darknet finden sich Exploits zu diesen Schwachstellen einfach und schnell. Für Zero-Day Exploits wird dort auch gerne mal viel Geld bezahlt.

Die Veröffentlichungstermine für Oracle Security Patches findet immer in den Monaten Januar, April, Juli und Oktober statt.

Lesen sie hier:

Aktueller Critical Patch Update - Juli 2019

Erscheinungsdatum: 16. Juli 2019

Der aktuelle CPU Patch für die Oracle Datenbank beinhaltet insgesamt 9 Security Fixes. Davon betreffen 8 den Oracle Datenbank Server:

  • 1 dieser Fixes kann Remote ohne Authentifizierung eines Benutzers, sprich ohne Benutzername/Passwort, ausgenutzt werden.
  • 3 der Fixes betreffen reine Client-only-Installationen (ohne Oracle Datenbank Server).

1 Fix betrifft Oracle Global Lifecycle Management:

  • Deser Fixes kann Remote nicht ohne Authentifizierung eines Benutzers, sprich ohne Benutzername/Passwort, ausgenutzt werden.


Dieser Critical Patch Update ist für nachfolgende Versionen konzipiert:

  • 11.2.0.4
  • 12.1.0.2
  • 12.2.0.1
  • 18c
  • 19c

 

Details über die behobenen Schwachstellen des Oracle Database Server

   Anzahl    Betroffene Datenbank
  Komponente
  Min./Max. CVSS Base Score   Höchstes betroffenes Patchset
  eines supporteten RDBMS-
  Releases
  Remote Exploit
  ohne Authentifizierung
  Bemerkung
     3 Core RDBMS 9.8 / 7.6 / 4.0

 11.2.0.4, 12.1.0.2, 12.2.0.1,  18c, 19c

 Ja / Nein
     1 Oracle ODBC
 Driver
 6.8 11.2.0.4, 12.1.0.2, 12.2.0.1,
 18c
 Nein1)
     1 Java VM 6.8 11.2.0.4, 12.1.0.2, 12.2.0.1,
 18c, 19c
 Nein
     1 Application
 Express
 5.4 5.1, 18.2 Nein
     1 Oracle Text 4.6 11.2.0.4, 12.1.0.2, 12.2.0.1,  18c Nein
     1 Spatial 3.5 12.2.0.1, 18c Nein

1) Dieser Fix betrifft nur Windows-Plafformen

 

Details über die behobenen Schwachstellen des Oracle Global Lifecycle Management

   Anzahl    Betroffene Datenbank
  Komponente
  Min./Max. CVSS Base Score   Höchstes betroffenes Patchset
  eines supporteten RDBMS-
  Releases
  Remote Exploit
  ohne Authentifizierung
  Bemerkung
    1 Oracle Global Lifecycle Management OPatchAuto 7.2

 alle bis 12.2.0.1.14

 Nein


Generell gilt: Sollten Sie die in der Spalte "Betroffene Datenbank Komponente" aufgeführte Komponente in Ihrer Datenbank gar nicht installiert haben, so ist Ihre Datenbank von diesem Problem auch nicht betroffen.
 

Nachfolgende Bugs wurden mit diesem Critical Patch Update behoben:

CVE-2016-9572

CVE-2018-7489
CVE-2018-11058

CVE-2019-2484
CVE-2019-2569
CVE-2019-2749
CVE-2019-2753
CVE-2019-2776
CVE-2019-2799

Weitere betroffene CVEs:

Das Update für CVE-2018-7489 behebt auch CVE-2017-15095 und CVE-2017-7525.
Das Update für CVE-2018-11058 behebt auch CVE-2016-0701, CVE-2016-2183, CVE-2016-6306, CVE-2016-8610, CVE-2018-11054, CVE-2018-11055, CVE-2018- 11056, CVE-2018-11057 und CVE-2018-15769

Nur-Client-Installationen des Oracle Database Servers:
CVE-2018-11058, CVE-2019-2799 und CVE-2019-2569.

 

Weitere Informationen finden Sie hier:

Öffnet externen Link in neuem FensterOracle Critical Patch Update Advisory - Juli 2019

Einspielen eines Critical Patch Update

Ob ein Critical Patch Update eingespielt werden muss oder nicht, hängt neben den CVSS-Scores der Sicherheitslücken vor allem von Ihrer Datenbankversion und der installierten/genutzten Komponenten ab.

Das Einspielen eines Critical Patch Update ist auf jeden Fall als proaktive Maßnahme zu sehen und entsprechend zu behandeln.

Wir analysieren und testen jeden Critical Patch Update, sobald er verfügbar ist. Die Tests erfolgen mit allen noch zertifizierten Datenbankversionen auf den Betriebssystemen:

  • OEL 6 und 7 (x86-64)
  • Windows Server 2008 R2 und 2012 R2 (x86-64)

Die Ergebnisse dieser Tests helfen uns, die für Sie richtige Entscheidung zu treffen.

Das Einspielen eines Oracle Security Patch sollte auf jeden Fall sorgfältig geplant werden. Idealerweise berücksichtigt man das Einspielen von Patches bereits dem Aufbau der Datenbankserver.

In der Praxis hat sich für das Einspielen dieser Ablauf bewährt:

  • Planung des Vorgehens und Abstimmung mit den beteiligten Stellen
  • Einspielen des Patches in eine (identische) Testumgebung
  • Testen der (wichtigsten) Funktionalitäten und Freigabe
  • Einspielen des Patches in die Produktivumgebung
  • Abschliessende Tests und Freigabe

Nicht jeder hat jedoch gleich ein ausführliches Kochrezept dafür zur Hand. Lassen Sie sich deshalb von unserem erfahrenen Team bei der Planung und Umsetzung helfen. 

Übersicht Critical Patch Update

Opens internal link in current windowHier gelangen Sie zur Übersicht der bisherigen Critical Patch Updates für Oracle Datenbanken.

Jede Menge Know-how für Sie!

In unserer Know-How Datenbank finden Sie mehr als 300 ausführliche Beiträge zu den Oracle-Themen wie DBA, SQL, PL/SQL, APEX und vielem mehr.
Hier erhalten Sie Antworten auf Ihre Fragen.