Oracle Critical Patch - April 2021

Critical Patch Update - April 2021

Erscheinungsdatum: 20. April 2021

Der aktuelle CPU Patch von Oracle beinhaltet insgesamt 18 Security Fixes, des Weiteren auch Patches von Drittanbietern, die alle Oracle Produkte betreffen,

  • 10 Fixes für Oracle Database Server
  • 1 Fix für Oracle Global Lifecycle Management
  • kein Oracle Fix für Oracle Graph Server and Client, hier sind Drittanbieter Patches verfügbar
  • 4 Fixes für Oracle NoSQL Database
  • 1 Fix für Oracle REST Data Services
  • kein Oracle Fix für Oracle Secure Backup, hier sind Drittanbieter Patches verfügbar
  • 2 Fixes für Oracle Spatial Studio
  • kein Oracle Fix für Oracle TimesTen In-Memory Database, hier sind Drittanbieter Patches verfügbar

In vier Fällen kann die Sicherheitslücke per Remote und ohne Authentifizierung eines Benutzers, sprich ohne Benutzername/Passwort, ausgenutzt werden. Keiner dieser Patches gilt für Nur-Client-Installationen, d. h. Installationen, auf denen der Oracle-Datenbank Server nicht installiert ist. Mehr Infos hierzu erhalten Sie in der nachfolgenden Tabelle.


Dieser Critical Patch Update ist für nachfolgende Datenbank-Versionen konzipiert:

  • 12.1.0.2
  • 12.2.0.1
  • 18c
  • 19c
  • APEX bis Version 20.2


Details über die behobenen Schwachstellen des Oracle Database Server

 Anzahl  Betroffene Datenbank
  Komponente		  Min./Max. CVSS Base Score  Höchstes betroffenes Patchset
  eines supporteten RDBMS-Releases		   Remote Exploit
  ohne Authentifizierunga		  Bemerkung
 1  Oracle Database
 Enterprise Edition Security
 (Dell BSAFE Micro Edition Suite)		  7.5  12.1.0.2, 12.2.0.1,  18c, 19c  Ja  
 1   Workload Manager
  (ApacheTomcat)		  7.5  18c, 19c  Ja  
 1  Oracle Database
 Enterprise Edition
 (Dell BSAFE Crypto-J)		  6.5  12.1.0.2, 12.2.0.1,  18c, 19c  Ja  
 1  APEX
 (jQuery)		  6.1  alle bis 20.2  Ja  
 1  Java VM  5.3  12.1.0.2, 12.2.0.1,  18c, 19c  Nein  
 1  APEX
 (CodeMirror)		  4.3  alle bis 20.2  Nein  
 1  Recovery  4.1  12.1.0.2, 12.2.0.1,  18c, 19c  Nein  
 1  Database Vault  2.7  12.1.0.2, 12.2.0.1,  18c, 19c  Nein  
 1  Oracle Database
 Enterprise Edition
 Unified Audit		  2.7  18c, 19c  Nein  
 1  Oracle Database
 Enterprise Edition		  2.3  12.1.0.2, 12.2.0.1,  18c, 19c  Nein  


Details über die behobenen Schwachstellen des Oracle Global Lifecycle Management

 Anzahl  Betroffene Datenbank
  Komponente		  Min./Max. CVSS Base Score  Höchstes betroffenes Patchset
  eines supporteten RDBMS-Releases		   Remote Exploit
  ohne Authentifizierunga		  Bemerkung
 1  Patch Installer
 (Dell BSAFE Crypto-J)		  6.5  alle bis 12.2.0.1.22  Ja  


Details über die behobenen Schwachstellen der Oracle NoSQL Database

 Anzahl  Betroffene Datenbank
  Komponente		  Min./Max. CVSS Base Score  Höchstes betroffenes Patchset
  eines supporteten RDBMS-Releases		   Remote Exploit
  ohne Authentifizierunga		  Bemerkung
 1  Administration
 (Apache HttpClient)		  7.5  alle bis 20.3  Ja  
 1  Administration
 (Netty)		  7.5  alle bis 20.3  Ja  
 1  Administration
 (Node.js)		  7.5  alle bis 20.3  Ja  
 1  Administration
 (Google Guava)		  3.3  alle bis 20.3  Nein  


Details über die behobenen Schwachstellen des Oracle REST Data Services

 Anzahl  Betroffene Datenbank
  Komponente		  Min./Max. CVSS Base Score  Höchstes betroffenes Patchset
  eines supporteten RDBMS-Releases		   Remote Exploit
  ohne Authentifizierunga		  Bemerkung
 1  General
 (Eclipse Jetty)		  5.3  alle bis 20.4.3.050.1904  Ja  


Details über die behobenen Schwachstellen des Oracle Spatial Studio

 Anzahl  Betroffene Datenbank
  Komponente		  Min./Max. CVSS Base Score  Höchstes betroffenes Patchset
  eines supporteten RDBMS-Releases		   Remote Exploit
  ohne Authentifizierunga		  Bemerkung
 1  Install
 (Apache HttpClient)		  5.3  alle bis 20.11  Ja  
 1  Install
 (CodeMirror)		  4.3  alle bis 19.1.0  Nein  


Generell gilt: Sollten Sie die in der Spalte "Betroffene Datenbank Komponente" aufgeführte Komponente in Ihrer Datenbank gar nicht installiert haben, so ist Ihre Datenbank von diesem Problem auch nicht betroffen.

Nachfolgende Bugs wurden mit diesem Critical Patch Update für den Database Server behoben:

CVE-2019-3740 -> CVE-2019-3738 & CVE-2019-3739

CVE-2020-5360 -> CVE-2020-5359
CVE-2020-7760
CVE-2020-11023 -> CVE-2019-11358 & CVE-2020-11022
CVE-2020-17257 -> CVE-2020-13943 & CVE-2020-9484

CVE-2021-2173
CVE-2021-2175
CVE-2021-2207
CVE-2021-2234
CVE-2021-2245

Weitere Informationen und eine ausführliche Aufstellung aller ausgelieferter CVEs finden Sie hier:

Übersicht Critical Patch Update

Opens internal link in current windowHier gelangen Sie zur Übersicht der bisherigen Critical Patch Updates für Oracle Datenbanken.

CRITICAL PATCH UPDATE

Das nächste Oracle CPU erscheint am:
16  Juli 2024

Opens internal link in current windowHier gelangen Sie zum aktuellen CPU

Uli Schertl
Uli Schertl
Ihre Ansprechpartnerin
+49 89 6228 6789-39
uli.schertl@muniqsoft-consulting.de

null

Jede Menge Know-how für Sie!

In unserer Know-How Datenbank finden Sie mehr als 300 ausführliche Beiträge zu den Oracle-Themen wie DBA, SQL, PL/SQL, APEX und vielem mehr.
Hier erhalten Sie Antworten auf Ihre Fragen.

scroll icon
Muniqsoft Consulting Portfolio
Muniqsoft Consulting im Profil
Muniqsoft Consulting Kontakt

Muniqsoft Consulting GmbH
Witneystraße 1
82008 Unterhaching

Telefon: 089 6228 6789-0
Telefax: 089 6228 6789-50

E-Mail senden

© Muniqsoft Consulting GmbH Unterhaching bei München