Erscheinungsdatum: 16. Juli 2020
Der aktuelle CPU Patch von Oracle beinhaltet insgesamt 27 Security Fixes die alle Oracle Datenbank Produkte betreffen,
Beim Oracle Database Server und bei Oracle GoldenGate kann je 1 Security Fix Remote ohne Authentifizierung eines Benutzers, sprich ohne Benutzername/Passwort, ausgenutzt werden.
Dieser Critical Patch Update ist für nachfolgenden Datenbankversionen konzipiert:
Anzahl | Betroffene Datenbank Komponente | Min./Max. CVSS Base Score | Höchstes betroffenes Patchset eines supporteten RDBMS-Releases | Remote Exploit ohne Authentifizierunga | Bemerkung |
---|---|---|---|---|---|
2 | MapViewer | 0.0 / 8.8 | 12.2.0.1, 18c, 19c | Nein | 1), 2) |
1 | Java VM | 8.0 | 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c | Nein | |
1 | Core RDBMS | 6.6 | 18c | Nein | |
1 | Data Pump | 7.5 | 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c | Nein | |
1 | Geo Raster (OpenJPG) | 5.7 | 18c | Nein | |
8 | APEX (Oracle Application Express) | 4.6 / 5.4 | 5.12 - 19.2 | Nein | |
1 | Workload Manager (Apache Tomcat) | 4.8 | 12.2.0.1, 18c, 19c | Ja | |
1 | Oracle Database - Enterprise Edition | 4.1 | 12.1.0.2, 12.2.0.1, 18c, 19c | Nein | |
1 | Oracle Database (Perl) | 0.0 | 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c | Nein | 3) |
1 | Spatial Studio (Apache Commons Beanutils) | 0.0 | alle bis 19.2.1 | Nein | 4) |
1 | TFA (jackson-databind) | 0.0 | 12.2.0.1, 18c, 19c | Nein | 5) |
1) Der MapViewer wird nicht mit der Standardinstallation bereitgestellt
2) CVE-2019-13990 und andere für diesen Patch aufgeführte CVEs können im Kontext des Oracle Spatial- und Graph MapViewers nicht ausgenutzt werden, daher CVSS 0.0
3) Diese CVE kann nicht im Kontext von Oracle Database ausgenutzt werden, daher CVSS 0.0
4) Der CVE-2019-10086 kann im Kontext von Oracle Spatial Studio nicht ausgenutzt werden, daher CVSS 0.0
5) CVE-2019-16943 und damit zusammenhängende CVEs, die in diesem Patch aufgeführt sind, können im Kontext von Oracle TFA nicht ausgenutzt werden, daher CVSS 0.0
Anzahl | Betroffene Datenbank Komponente | Min./Max. CVSS Base Score | Höchstes betroffenes Patchset eines supporteten RDBMS-Releases | Remote Exploit ohne Authentifizierunga | Bemerkung |
---|---|---|---|---|---|
2 | Data Store | 7.0 / 7.3 | alle bis 6.1.38 / 18.1.40 | Nein | |
1 | Data Store (SQLite) | 0.0 | alle bis 18.1.40 | Nein | 1) |
1) CVE-2019-8457 kann im Kontext zu Oracle Berkeley DB nicht ausgenutzt werden, der CVSS-Wert beträgt daher 0.0
Anzahl | Betroffene Datenbank Komponente | Min./Max. CVSS Base Score | Höchstes betroffenes Patchset eines supporteten RDBMS-Releases | Remote Exploit ohne Authentifizierunga | Bemerkung |
---|---|---|---|---|---|
1 | Oracle Global Lifecycle Management OPatch | 0.0 | alle bis 12.2.0.1.20 | Nein | 1) |
1) Die angebegene CVE-Nummern, auf die sich dieser Patch bezieht, kann in keinem Oracle Produkt ausgenutzt werden, der CVSS-Wert beträgt daher 0.0
Anzahl | Betroffene Datenbank Komponente | Min./Max. CVSS Base Score | Höchstes betroffenes Patchset eines supporteten RDBMS-Releases | Remote Exploit ohne Authentifizierunga | Bemerkung |
---|---|---|---|---|---|
1 | Oracle Global | 9.6 | alle bis 19.1.0.0.0 | Ja | |
2 | GoldenGate Stream Analytics | 0.0 / 6.5 | alle bis 19.1.0.0.1 | Nein | 1) |
1) CVE-2019-14379 und andere betroffene CVEs, auf die sich dieser Patch bezieht, können in keinem Oracle Produkt ausgenutzt werden, der CVSS-Wert beträgt daher 0.0
Anzahl | Betroffene Datenbank Komponente | Min./Max. CVSS Base Score | Höchstes betroffenes Patchset eines supporteten RDBMS-Releases | Remote Exploit ohne Authentifizierunga | Bemerkung |
---|---|---|---|---|---|
1 | Oracle TimesTen In-Memory Database | 0.0 | alle bis 18.1.2.1.0 | Nein | 1) |
1) Keine der betroffenen CVE-Nummern, auf die sich dieser Patch bezieht, können in einem Oracle Produkt ausgenutzt werden, der CVSS-Wert beträgt daher 0.0
Generell gilt: Sollten Sie die in der Spalte "Betroffene Datenbank Komponente" aufgeführte Komponente in Ihrer Datenbank gar nicht installiert haben, so ist Ihre Datenbank von diesem Problem auch nicht betroffen.
CVE-2016-9843
CVE-2016-1000031
CVE-2017-10140 - Oracle Berkeley DB
CVE-2018-18314 - Oracle TimesTen In-Memory Database
CVE-2019-0222 - Oracle GoldenGate
CVE-2019-8457 - Oracle Berkeley DB
CVE-2019-10086
CVE-2019-13990
CVE-2019-14379 - Oracle GoldenGate
CVE-2019-16943
CVE-2019-17569
CVE-2020-2513
CVE-2020-2968
CVE-2020-2969
CVE-2020-2971
CVE-2020-2972
CVE-2020-2973
CVE-2020-2974
CVE-2020-2975
CVE-2020-2976
CVE-2020-2977
CVE-2020-2978
CVE-2020-2981 - Oracle Berkeley DB
CVE-2020-8112
CVE-2020-9546 - Oracle Global Lifecycle Management
CVE-2020-14705 - Oracle GoldenGate
Weitere betroffene CVEs:
Der Patch für CVE-2016-9843 betrifft auch CVE-2016-9840, CVE-2016-9841, CVE-2016-9842.
Der Patch für CVE-2018-18314 betrifft auch CVE-2015-8607, CVE-2015-8608, CVE-2016-2381, CVE-2017-12814, CVE-2017-12837, CVE-2017-12883, CVE-2018-12015, CVE-2018-18311, CVE-2018-18312, CVE-2018-18313, CVE-2018-6797, CVE-2018-6798 and CVE-2018-6913.
Der Patch für CVE-2019-13990 betrifft auch CVE-2018-10237, CVE-2018-8013.
Der Patch für CVE-2019-14379 betrifft auch CVE-2016-5017, CVE-2017-5637, CVE-2018-17190, CVE-2018-8012, CVE-2018-8088, CVE-2019-0201, CVE-2019-12086, CVE-2019-12384, CVE-2019-12814, CVE-2019-14439 and CVE-2019-14893
Der Patch für CVE-2019-16943 betrifft auch CVE-2019-16942. CVE-2019-17531,
Der Patch für CVE-2019-17569 betrifft auch CVE-2020-1935, CVE-2020-1938.
Der Patch für CVE-2020-8112- betrifft auch CVE-2016-1923, CVE-2016-1924, CVE-2016-3183, CVE-2016-4796, CVE-2016-4797, CVE-2016-8332, CVE-2016-9112 and CVE-2020-6851.
Der Patch für CVE-2020-9546- betrifft auch CVE-2019-16943, CVE-2020-10650, CVE-2020-10672, CVE-2020-10673, CVE-2020-10968, CVE-2020-10969, CVE-2020-11111, CVE-2020-11112, CVE-2020-11113, CVE-2020-11619, CVE-2020-11620, CVE-2020-9547 and CVE-2020-9548.
Weitere Informationen finden Sie hier:
Hier gelangen Sie zur Übersicht der bisherigen Critical Patch Updates für Oracle Datenbanken.
Das nächste Oracle CPU erscheint am:
16 Juli 2024
In unserer Know-How Datenbank finden Sie mehr als 300 ausführliche Beiträge zu den
Oracle-Themen wie DBA, SQL, PL/SQL, APEX und vielem mehr.
Hier erhalten Sie Antworten auf Ihre Fragen.