An dieser Stelle informieren wir Sie immer über den aktuellsten Oracle Critical Patch Update für Ihre Oracle Datenbank.
Sie erhalten einen kurzen Überblick über die behobenen Schwachstellen und können dadurch einschätzen, ob dieser Patch für Sie sicherheitsrelevant ist.
Unsere Empfehlung zu Security Patches für Oracle Produkte lautet immer, diese frühzeitig einzuplanen und zeitnah nach deren Veröffentlichung einzuspielen. Denn mit Hilfe spezieller Suchmaschinen im Darknet finden sich Exploits zu diesen Schwachstellen einfach und schnell. Für Zero-Day Exploits wird dort auch gerne mal viel Geld bezahlt.
Die Veröffentlichungstermine für Oracle Security Patches findet immer in den Monaten Januar, April, Juli und Oktober statt.
Lesen sie hier:
Erscheinungsdatum: 17. April 2024
Der aktuelle CPU Patch von Oracle beinhaltet 12 Security Fixes für den Bereich Datenbank:
Für die Oracle Database gilt: 3 dieser Sicherheitslücken können per Remote und ohne Authentifizierung eines Benutzers, sprich ohne Benutzername/Passwort, ausgenutzt werden. Keine dieser Patches betrifft Nur-Client-Installationen, d. h. Installationen, auf denen der Oracle-Datenbank Server nicht installiert ist. Mehr Infos hierzu erhalten Sie in der nachfolgenden Tabelle.
Dieses Oracle CPU ist für nachfolgende Datenbank-Versionen konzipiert:
| Anzahl | Betroffene Datenbank Komponente | Min./Max. CVSS Base Score | Höchstes betroffenes Patchset eines supporteten RDBMS-Releases | Remote Exploit ohne Authentifizierunga | Bemerkung |
|---|---|---|---|---|---|
| 1 | Grid Infrastructure | 5.9 | 21.3-21.13 | Ja | |
| 1 | Oracle SQLcl | 5.9 | 19.3-19,22; 21.3-21.13 | Ja | |
| 1 | Java VM | 5.3 | 19.3-19,22; 21.3-21.13 | Nein | |
| 1 | Unified Audit | 4.9 | 19.3-19,22; 21.3-21.13 | Nein | |
| 1 | GraalVM Multilingual Engine | 4.3 | 21.3-21.13 | Ja | |
| 1 | RDBMS | 4.2 | 19.3-19,22; 21.3-21.13 | Nein | |
| 1 | RDBMS (Python) | 3.5 | 21.3-21.13 | Nein | |
| 1 | Oracle Database Sharding | 2.4 | 19.3-19,22; 21.3-21.13 | Nein |
Generell gilt: Sollten Sie die in der Spalte "Betroffene Datenbank Komponente" aufgeführte Komponente in Ihrer Datenbank gar nicht installiert haben, so ist Ihre Datenbank von diesem Problem auch nicht betroffen.
Nachfolgende Bugs wurden mit diesem Critical Patch Update behoben:
Database Server
CVE-2023-5072
CVE-2023-48795 2x
CVE-2023-36632
CVE-2024-20995
CVE-2024-21058
CVE-2024-21066
CVE 2024-21093
Weitere Informationen und eine ausführliche Aufstellung aller ausgelieferter CVEs finden Sie hier:
Ob ein Critical Patch Update eingespielt werden muss oder nicht, hängt neben den CVSS-Scores der Sicherheitslücken vor allem von Ihrer Datenbankversion und der installierten/genutzten Komponenten ab.
Das Einspielen eines Critical Patch Update ist auf jeden Fall als proaktive Maßnahme zu sehen und entsprechend zu behandeln.
Wir analysieren und testen jeden Critical Patch Update, sobald er verfügbar ist. Die Tests erfolgen mit allen noch zertifizierten Datenbankversionen auf den Betriebssystemen:
Die Ergebnisse dieser Tests helfen uns, die für Sie richtige Entscheidung zu treffen.
Das Einspielen eines Oracle Security Patch sollte auf jeden Fall sorgfältig geplant werden. Idealerweise berücksichtigt man das Einspielen von Patches bereits dem Aufbau der Datenbankserver.
In der Praxis hat sich für das Einspielen dieser Ablauf bewährt:
Nicht jeder hat jedoch gleich ein ausführliches Kochrezept dafür zur Hand. Lassen Sie sich deshalb von unserem erfahrenen Team bei der Planung und Umsetzung helfen.
Hier gelangen Sie zur Übersicht der bisherigen Critical Patch Updates für Oracle Datenbanken.
Das nächste Oracle CPU erscheint am:
16 Juli 2024
In unserer Know-How Datenbank finden Sie mehr als 300 ausführliche Beiträge zu den
Oracle-Themen wie DBA, SQL, PL/SQL, APEX und vielem mehr.
Hier erhalten Sie Antworten auf Ihre Fragen.
Hier gelangen Sie zum aktuellen CPU