Oracle Critical Patch Update

Critical Patch Update - Juli 2020

Erscheinungsdatum: 16. Juli 2020

Der aktuelle CPU Patch von Oracle beinhaltet insgesamt 27 Security Fixes die alle Oracle Datenbank Produkte betreffen,

  • 19 Fixes für den Oracle Database Server
  • 3 Fixes für Oracle Berkeley DB
  • 1 Fix für Oracle Global Lifecycle Management
  • 3 Fixes für Oracle GoldenGate
  • 1 Fix für Oracle TimesTen In-Memory Database

Beim Oracle Database Server und bei Oracle GoldenGate kann je 1 Security Fix Remote ohne Authentifizierung eines Benutzers, sprich ohne Benutzername/Passwort, ausgenutzt werden.


Dieser Critical Patch Update ist für nachfolgenden Datenbankversionen konzipiert:

  • 11.2.0.4
  • 12.1.0.2
  • 12.2.0.1
  • 18c
  • 19c


Details über die behobenen Schwachstellen des Oracle Database Server

 Anzahl  Betroffene Datenbank
  Komponente		  Min./Max. CVSS Base Score  Höchstes betroffenes Patchset
  eines supporteten RDBMS-Releases		   Remote Exploit
  ohne Authentifizierunga		  Bemerkung
 2  MapViewer  0.0 / 8.8  12.2.0.1,  18c, 19c  Nein  1), 2)
 1   Java VM  8.0  11.2.0.4, 12.1.0.2, 12.2.0.1,  18c, 19c  Nein  
 1  Core RDBMS  6.6  18c  Nein  
 1  Data Pump  7.5  11.2.0.4, 12.1.0.2, 12.2.0.1,  18c, 19c  Nein  
 1  Geo Raster
 (OpenJPG)		  5.7  18c  Nein  
 8  APEX
 (Oracle Application Express)		  4.6 / 5.4  5.12 - 19.2  Nein  
 1  Workload Manager
 (Apache Tomcat)		  4.8  12.2.0.1,  18c, 19c  Ja  
 1  Oracle Database -
 Enterprise Edition		  4.1  12.1.0.2, 12.2.0.1,  18c, 19c  Nein  
 1  Oracle Database
 (Perl)		  0.0  11.2.0.4, 12.1.0.2, 12.2.0.1,  18c, 19c  Nein  3)
 1  Spatial Studio
 (Apache Commons Beanutils)		  0.0  alle bis 19.2.1  Nein  4)
 1  TFA
 (jackson-databind)		  0.0  12.2.0.1, 18c, 19c  Nein  5)

1) Der MapViewer wird nicht mit der Standardinstallation bereitgestellt
2) CVE-2019-13990 und andere für diesen Patch aufgeführte CVEs können im Kontext des Oracle Spatial- und Graph MapViewers nicht ausgenutzt werden, daher CVSS 0.0
3) Diese CVE kann nicht im Kontext von Oracle Database ausgenutzt werden, daher CVSS 0.0
4) Der CVE-2019-10086 kann im Kontext von Oracle Spatial Studio nicht ausgenutzt werden, daher CVSS 0.0
5) CVE-2019-16943 und damit zusammenhängende CVEs, die in diesem Patch aufgeführt sind, können im Kontext von Oracle TFA nicht ausgenutzt werden, daher CVSS 0.0

Details über die behobenen Schwachstellen der Oracle Berkeley DB

 Anzahl  Betroffene Datenbank
  Komponente		  Min./Max. CVSS Base Score  Höchstes betroffenes Patchset
  eines supporteten RDBMS-Releases		   Remote Exploit
  ohne Authentifizierunga		  Bemerkung
 2  Data Store
 		  7.0 / 7.3   alle bis 6.1.38 / 18.1.40  Nein  
 1  Data Store
 (SQLite)		  0.0 alle bis 18.1.40  Nein  1)

1) CVE-2019-8457 kann im Kontext zu Oracle Berkeley DB nicht ausgenutzt werden, der CVSS-Wert beträgt daher 0.0


Details über die behobenen Schwachstellen des Oracle Global Lifecycle Management

 Anzahl  Betroffene Datenbank
  Komponente		  Min./Max. CVSS Base Score  Höchstes betroffenes Patchset
  eines supporteten RDBMS-Releases		   Remote Exploit
  ohne Authentifizierunga		  Bemerkung
 1  Oracle Global
 Lifecycle Management
 OPatch		  0.0   alle bis 12.2.0.1.20  Nein  1)

1) Die angebegene CVE-Nummern, auf die sich dieser Patch bezieht, kann in keinem Oracle Produkt ausgenutzt werden, der CVSS-Wert beträgt daher 0.0

Details über die behobenen Schwachstellen von Oracle GoldenGate

 Anzahl  Betroffene Datenbank
  Komponente		  Min./Max. CVSS Base Score  Höchstes betroffenes Patchset
  eines supporteten RDBMS-Releases		   Remote Exploit
  ohne Authentifizierunga		  Bemerkung
 1  Oracle Global  9.6   alle bis 19.1.0.0.0  Ja  
 2  GoldenGate
 Stream Analytics		  0.0 / 6.5  alle bis 19.1.0.0.1  Nein  1)

1) CVE-2019-14379 und andere betroffene CVEs, auf die sich dieser Patch bezieht, können in keinem Oracle Produkt ausgenutzt werden, der CVSS-Wert beträgt daher 0.0

Details über die behobenen Schwachstellen von Oracle TimesTen In-Memory Database

 Anzahl  Betroffene Datenbank
  Komponente		  Min./Max. CVSS Base Score  Höchstes betroffenes Patchset
  eines supporteten RDBMS-Releases		   Remote Exploit
  ohne Authentifizierunga		  Bemerkung
 1  Oracle
 TimesTen In-Memory Database		  0.0  alle bis 18.1.2.1.0  Nein  1)

1) Keine der betroffenen CVE-Nummern, auf die sich dieser Patch bezieht, können in einem Oracle Produkt ausgenutzt werden, der CVSS-Wert beträgt daher 0.0

 

Generell gilt: Sollten Sie die in der Spalte "Betroffene Datenbank Komponente" aufgeführte Komponente in Ihrer Datenbank gar nicht installiert haben, so ist Ihre Datenbank von diesem Problem auch nicht betroffen.

Nachfolgende Bugs wurden mit diesem Critical Patch Update behoben:

CVE-2016-9843
CVE-2016-1000031

CVE-2017-10140 - Oracle Berkeley DB

CVE-2018-18314 - Oracle TimesTen In-Memory Database

CVE-2019-0222 - Oracle GoldenGate
CVE-2019-8457 - Oracle Berkeley DB
CVE-2019-10086
CVE-2019-13990
CVE-2019-14379 - Oracle GoldenGate
CVE-2019-16943
CVE-2019-17569

CVE-2020-2513
CVE-2020-2968
CVE-2020-2969
CVE-2020-2971
CVE-2020-2972
CVE-2020-2973
CVE-2020-2974
CVE-2020-2975
CVE-2020-2976
CVE-2020-2977
CVE-2020-2978
CVE-2020-2981 - Oracle Berkeley DB
CVE-2020-8112
CVE-2020-9546 - Oracle Global Lifecycle Management
CVE-2020-14705 - Oracle GoldenGate


Weitere betroffene CVEs:

Der Patch für CVE-2016-9843 betrifft auch CVE-2016-9840, CVE-2016-9841, CVE-2016-9842.
Der Patch für CVE-2018-18314 betrifft auch CVE-2015-8607, CVE-2015-8608, CVE-2016-2381, CVE-2017-12814, CVE-2017-12837, CVE-2017-12883, CVE-2018-12015, CVE-2018-18311, CVE-2018-18312, CVE-2018-18313, CVE-2018-6797, CVE-2018-6798 and CVE-2018-6913.
Der Patch für CVE-2019-13990 betrifft auch CVE-2018-10237, CVE-2018-8013.
Der Patch für CVE-2019-14379 betrifft auch CVE-2016-5017, CVE-2017-5637, CVE-2018-17190, CVE-2018-8012, CVE-2018-8088, CVE-2019-0201, CVE-2019-12086, CVE-2019-12384, CVE-2019-12814, CVE-2019-14439 and CVE-2019-14893
Der Patch für CVE-2019-16943 betrifft auch CVE-2019-16942. CVE-2019-17531,
Der Patch für CVE-2019-17569 betrifft auch CVE-2020-1935, CVE-2020-1938.
Der Patch für CVE-2020-8112- betrifft auch CVE-2016-1923, CVE-2016-1924, CVE-2016-3183, CVE-2016-4796, CVE-2016-4797, CVE-2016-8332, CVE-2016-9112 and CVE-2020-6851.
Der Patch für CVE-2020-9546- betrifft auch CVE-2019-16943, CVE-2020-10650, CVE-2020-10672, CVE-2020-10673, CVE-2020-10968, CVE-2020-10969, CVE-2020-11111, CVE-2020-11112, CVE-2020-11113, CVE-2020-11619, CVE-2020-11620, CVE-2020-9547 and CVE-2020-9548.

 

Weitere Informationen finden Sie hier:

Öffnet externen Link in neuem FensterOracle Critical Patch Update Advisory - Juli 2020

Übersicht Critical Patch Update

Opens internal link in current windowHier gelangen Sie zur Übersicht der bisherigen Critical Patch Updates für Oracle Datenbanken.

CRITICAL PATCH UPDATE

Das nächste Oracle CPU erscheint am:
16  Juli 2024

Opens internal link in current windowHier gelangen Sie zum aktuellen CPU

Uli Schertl
Uli Schertl
Ihre Ansprechpartnerin
+49 89 6228 6789-39
uli.schertl@muniqsoft-consulting.de

null

Jede Menge Know-how für Sie!

In unserer Know-How Datenbank finden Sie mehr als 300 ausführliche Beiträge zu den Oracle-Themen wie DBA, SQL, PL/SQL, APEX und vielem mehr.
Hier erhalten Sie Antworten auf Ihre Fragen.

scroll icon
Muniqsoft Consulting Portfolio
Muniqsoft Consulting im Profil
Muniqsoft Consulting Kontakt

Muniqsoft Consulting GmbH
Witneystraße 1
82008 Unterhaching

Telefon: 089 6228 6789-0
Telefax: 089 6228 6789-50

E-Mail senden

© Muniqsoft Consulting GmbH Unterhaching bei München