Erscheinungsdatum: 20. Oktober 2020
Dieser CPU Patch von Oracle beinhaltet insgesamt 28 Security Fixes die alle Oracle Datenbank Produkte betreffen,
In allen angegebenen Sparten können u. a. Security Fixes Remote ohne Authentifizierung eines Benutzers, sprich ohne Benutzername/Passwort, ausgenutzt werden. Mehr Infos hierzu erhalten Sie in den nachfolgenden Tabellen.
Dieser Critical Patch Update ist für nachfolgende Datenbank-Versionen konzipiert:
Anzahl | Betroffene Datenbank Komponente | Min./Max. CVSS Base Score | Höchstes betroffenes Patchset eines supporteten RDBMS-Releases | Remote Exploit ohne Authentifizierunga | Bemerkung |
---|---|---|---|---|---|
1 | Core RDBMS (bzip2) | 8.8 | 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c | Nein | |
1 | Scheduler | 8.8 | 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c | Nein | |
1 | Oracle Text | 8.1 | 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c | Ja | |
1 | Workload Manager (Apache Tomcat) | 7.5 | 12.2.0.1, 18c, 19c | Ja | |
1 | Oracle APEX (jQuery) | 6.1 | alle bis 20.2 | Ja | |
1 | ORDS (jQuery) | 6.1 | 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c | Ja | 1) |
2 | Oracle APEX | 5.4 | alle bis 20.2 | Nein | |
1 | Oracle APEX Data Reporter | 5.4 | alle bis 20.2 | Nein | |
1 | Oracle APEX Group Calendar | 5.4 | alle bis 20.2 | Nein | |
1 | Oracle APEX Packaged Apps | 5.4 | alle bis 20.2 | Nein | |
1 | Oracle APEX Express Quick Poll | 5.4 | alle bis 20.2 | Nein | |
1 | Database Filesystem | 4.9 | 11.2.0.4, 12.1.0.2, 12.2.0.1 | Nein | |
1 | RDBMS Security | 4.9 | 19c | Nein | |
1 | Database Vault | 3.8 | 11.2.0.4, 12.1.0.2, 12.2.0.1 | Nein | |
1 | Java VM | 3.1 | 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c | Nein | |
1 | SQL Developer Install | 2.8 | 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c | Nein |
1) Weitere Bugs die ORDS betreffen sind in der Tabelle Oracle REST Data Services aufgeführt.
Anzahl | Betroffene Datenbank Komponente | Min./Max. CVSS Base Score | Höchstes betroffenes Patchset eines supporteten RDBMS-Releases | Remote Exploit ohne Authentifizierunga | Bemerkung |
---|---|---|---|---|---|
1 | Property Graph Analytics (Apache Solr) | 9.8 | alle bis 3.0 | Ja |
Anzahl | Betroffene Datenbank Komponente | Min./Max. CVSS Base Score | Höchstes betroffenes Patchset eines supporteten RDBMS-Releases | Remote Exploit ohne Authentifizierunga | Bemerkung |
---|---|---|---|---|---|
1 | General (Eclipse Jetty) | 9.8 | 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c | Ja | |
1 | General (Apache Commons FileUpload) | 8.0 | 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c | Nein | |
2 | General | 4.3 / 6.5 | 1.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c ORDS alle bis 20.2.1 | Nein | |
1 | General (jQuery) | 6.1 | 1.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c ORDS alle bis 20.2.1 | Ja |
Anzahl | Betroffene Datenbank Komponente | Min./Max. CVSS Base Score | Höchstes betroffenes Patchset eines supporteten RDBMS-Releases | Remote Exploit ohne Authentifizierunga | Bemerkung |
---|---|---|---|---|---|
1 | EM TimesTen plugin (RSA BSAFE Crypto-C) | 9.8 | alle bis 18.1.4.1.0 | Ja | |
1 | Install (Apache Log4j) | 9.8 | alle bis 11.2.2.8.49 | Ja | |
1 | Install (Dave Gamble/cJSON) | 7.5 | alle bis 18.1.3.1.0 | Ja | |
1 | Install (Apache ZooKeeper) | 5.9 | alle bis 18.1.3.1.0 | Ja |
Generell gilt: Sollten Sie die in der Spalte "Betroffene Datenbank Komponente" aufgeführte Komponente in Ihrer Datenbank gar nicht installiert haben, so ist Ihre Datenbank von diesem Problem auch nicht betroffen.
CVE-2019-12900
CVE-2020-9281
CVE-2020-11023
CVE-2020-13935
CVE-2020-14734
CVE-2020-14735
CVE-2020-14736
CVE-2020-14740
CVE-2020-14741
CVE-2020-14742
CVE-2020-14743
CVE-2020-14762
CVE-2020-14763
CVE-2020-14898
CVE-2020-14899
CVE-2020-14900
CVE-2020-14901
Weitere Informationen und eine ausführliche Aufstellung aller ausgelieferter CVEs finden Sie hier:
Hier gelangen Sie zur Übersicht der bisherigen Critical Patch Updates für Oracle Datenbanken.
Das nächste Oracle CPU erscheint am:
21. Januar 2025
In unserer Know-How Datenbank finden Sie mehr als 300 ausführliche Beiträge zu den
Oracle-Themen wie DBA, SQL, PL/SQL, APEX und vielem mehr.
Hier erhalten Sie Antworten auf Ihre Fragen.