Erscheinungsdatum: 20. April 2021
Der aktuelle CPU Patch von Oracle beinhaltet insgesamt 18 Security Fixes, des Weiteren auch Patches von Drittanbietern, die alle Oracle Produkte betreffen,
In vier Fällen kann die Sicherheitslücke per Remote und ohne Authentifizierung eines Benutzers, sprich ohne Benutzername/Passwort, ausgenutzt werden. Keiner dieser Patches gilt für Nur-Client-Installationen, d. h. Installationen, auf denen der Oracle-Datenbank Server nicht installiert ist. Mehr Infos hierzu erhalten Sie in der nachfolgenden Tabelle.
Dieser Critical Patch Update ist für nachfolgende Datenbank-Versionen konzipiert:
Anzahl | Betroffene Datenbank Komponente | Min./Max. CVSS Base Score | Höchstes betroffenes Patchset eines supporteten RDBMS-Releases | Remote Exploit ohne Authentifizierunga | Bemerkung |
---|---|---|---|---|---|
1 | Oracle Database Enterprise Edition Security (Dell BSAFE Micro Edition Suite) | 7.5 | 12.1.0.2, 12.2.0.1, 18c, 19c | Ja | |
1 | Workload Manager (ApacheTomcat) | 7.5 | 18c, 19c | Ja | |
1 | Oracle Database Enterprise Edition (Dell BSAFE Crypto-J) | 6.5 | 12.1.0.2, 12.2.0.1, 18c, 19c | Ja | |
1 | APEX (jQuery) | 6.1 | alle bis 20.2 | Ja | |
1 | Java VM | 5.3 | 12.1.0.2, 12.2.0.1, 18c, 19c | Nein | |
1 | APEX (CodeMirror) | 4.3 | alle bis 20.2 | Nein | |
1 | Recovery | 4.1 | 12.1.0.2, 12.2.0.1, 18c, 19c | Nein | |
1 | Database Vault | 2.7 | 12.1.0.2, 12.2.0.1, 18c, 19c | Nein | |
1 | Oracle Database Enterprise Edition Unified Audit | 2.7 | 18c, 19c | Nein | |
1 | Oracle Database Enterprise Edition | 2.3 | 12.1.0.2, 12.2.0.1, 18c, 19c | Nein |
Anzahl | Betroffene Datenbank Komponente | Min./Max. CVSS Base Score | Höchstes betroffenes Patchset eines supporteten RDBMS-Releases | Remote Exploit ohne Authentifizierunga | Bemerkung |
---|---|---|---|---|---|
1 | Patch Installer (Dell BSAFE Crypto-J) | 6.5 | alle bis 12.2.0.1.22 | Ja |
Anzahl | Betroffene Datenbank Komponente | Min./Max. CVSS Base Score | Höchstes betroffenes Patchset eines supporteten RDBMS-Releases | Remote Exploit ohne Authentifizierunga | Bemerkung |
---|---|---|---|---|---|
1 | Administration (Apache HttpClient) | 7.5 | alle bis 20.3 | Ja | |
1 | Administration (Netty) | 7.5 | alle bis 20.3 | Ja | |
1 | Administration (Node.js) | 7.5 | alle bis 20.3 | Ja | |
1 | Administration (Google Guava) | 3.3 | alle bis 20.3 | Nein |
Anzahl | Betroffene Datenbank Komponente | Min./Max. CVSS Base Score | Höchstes betroffenes Patchset eines supporteten RDBMS-Releases | Remote Exploit ohne Authentifizierunga | Bemerkung |
---|---|---|---|---|---|
1 | General (Eclipse Jetty) | 5.3 | alle bis 20.4.3.050.1904 | Ja |
Anzahl | Betroffene Datenbank Komponente | Min./Max. CVSS Base Score | Höchstes betroffenes Patchset eines supporteten RDBMS-Releases | Remote Exploit ohne Authentifizierunga | Bemerkung |
---|---|---|---|---|---|
1 | Install (Apache HttpClient) | 5.3 | alle bis 20.11 | Ja | |
1 | Install (CodeMirror) | 4.3 | alle bis 19.1.0 | Nein |
Generell gilt: Sollten Sie die in der Spalte "Betroffene Datenbank Komponente" aufgeführte Komponente in Ihrer Datenbank gar nicht installiert haben, so ist Ihre Datenbank von diesem Problem auch nicht betroffen.
CVE-2019-3740 -> CVE-2019-3738 & CVE-2019-3739
CVE-2020-5360 -> CVE-2020-5359
CVE-2020-7760
CVE-2020-11023 -> CVE-2019-11358 & CVE-2020-11022
CVE-2020-17257 -> CVE-2020-13943 & CVE-2020-9484
CVE-2021-2173
CVE-2021-2175
CVE-2021-2207
CVE-2021-2234
CVE-2021-2245
Weitere Informationen und eine ausführliche Aufstellung aller ausgelieferter CVEs finden Sie hier:
Hier gelangen Sie zur Übersicht der bisherigen Critical Patch Updates für Oracle Datenbanken.
Das nächste Oracle CPU erscheint am:
16 Juli 2024
In unserer Know-How Datenbank finden Sie mehr als 300 ausführliche Beiträge zu den
Oracle-Themen wie DBA, SQL, PL/SQL, APEX und vielem mehr.
Hier erhalten Sie Antworten auf Ihre Fragen.