Oracle Critical Patch Update

Critical Patch Update - Oktober 2020

Erscheinungsdatum: 20. Oktober 2020

Der aktuelle CPU Patch von Oracle beinhaltet insgesamt 28 Security Fixes die alle Oracle Datenbank Produkte betreffen,

  • 18 Fixes für den Oracle Database Server
  • 1 Fix für Oracle Big Data Graph
  • 5 Fixes für Oracle REST Data Service
  • 4 Fixes für Oracle TimesTen In-Memory Database

In allen angegebenen Sparten können u. a. Security Fixes Remote ohne Authentifizierung eines Benutzers, sprich ohne Benutzername/Passwort, ausgenutzt werden. Mehr Infos hierzu erhalten Sie in den nachfolgenden Tabellen.


Dieser Critical Patch Update ist für nachfolgende Datenbank-Versionen konzipiert:

  • 11.2.0.4
  • 12.1.0.2
  • 12.2.0.1
  • 18c
  • 19c


Details über die behobenen Schwachstellen des Oracle Database Server

 Anzahl  Betroffene Datenbank
  Komponente		  Min./Max. CVSS Base Score  Höchstes betroffenes Patchset
  eines supporteten RDBMS-Releases		   Remote Exploit
  ohne Authentifizierunga		  Bemerkung
 1  Core RDBMS
 (bzip2)		  8.8  11.2.0.4, 12.1.0.2, 12.2.0.1,  18c, 19c  Nein  
 1   Scheduler  8.8  11.2.0.4, 12.1.0.2, 12.2.0.1,  18c, 19c  Nein  
 1  Oracle Text  8.1  11.2.0.4, 12.1.0.2, 12.2.0.1,  18c, 19c  Ja  
 1  Workload Manager
 (Apache Tomcat)		  7.5  12.2.0.1,  18c, 19c  Ja  
 1  Oracle APEX
 (jQuery)		  6.1  alle bis 20.2  Ja  
 1  ORDS
 (jQuery)		  6.1  11.2.0.4, 12.1.0.2, 12.2.0.1,  18c, 19c  Ja  1)
 2  Oracle APEX  5.4  alle bis 20.2  Nein  
 1  Oracle APEX
 Data Reporter		  5.4  alle bis 20.2  Nein  
 1  Oracle APEX
 Group Calendar		  5.4  alle bis 20.2  Nein  
 1  Oracle APEX
 Packaged Apps		  5.4  alle bis 20.2  Nein  
 1  Oracle APEX
 Express Quick Poll		  5.4  alle bis 20.2  Nein  
 1  Database Filesystem  4.9  11.2.0.4, 12.1.0.2, 12.2.0.1  Nein  
 1  RDBMS Security  4.9  19c  Nein  
 1  Database Vault  3.8  11.2.0.4, 12.1.0.2, 12.2.0.1  Nein  
 1  Java VM  3.1  11.2.0.4, 12.1.0.2, 12.2.0.1,  18c, 19c  Nein  
 1  SQL Developer Install  2.8  11.2.0.4, 12.1.0.2, 12.2.0.1,  18c  Nein  

1) Weitere Bugs die ORDS betreffen sind in der Tabelle Oracle REST Data Services aufgeführt.
 

Details über die behobenen Schwachstellen der Oracle Big Data Graph

 Anzahl  Betroffene Datenbank
  Komponente		  Min./Max. CVSS Base Score  Höchstes betroffenes Patchset
  eines supporteten RDBMS-Releases		   Remote Exploit
  ohne Authentifizierunga		  Bemerkung
 1  Property Graph Analytics
 (Apache Solr)
 		  9.8   alle bis 3.0  Ja  


Details über die behobenen Schwachstellen des Oracle REST Data Services

 Anzahl  Betroffene Datenbank
  Komponente		  Min./Max. CVSS Base Score  Höchstes betroffenes Patchset
  eines supporteten RDBMS-Releases		   Remote Exploit
  ohne Authentifizierunga		  Bemerkung
 1  General (Eclipse Jetty)  9.8   11.2.0.4, 12.1.0.2, 12.2.0.1,  18c  Ja  
 1  General (Apache Commons FileUpload)  8.0  11.2.0.4, 12.1.0.2, 12.2.0.1,  18c  Nein  
 2  General 4.3 / 6.5  1.2.0.4, 12.1.0.2, 12.2.0.1,  18c, 19c
 ORDS alle bis 20.2.1		  Nein  
 1 General (jQuery)  6.1  1.2.0.4, 12.1.0.2, 12.2.0.1,  18c, 19c
 ORDS alle bis 20.2.1		  Ja  

 

Details über die behobenen Schwachstellen von Oracle TimesTen In-Memory Database

 Anzahl  Betroffene Datenbank
  Komponente		  Min./Max. CVSS Base Score  Höchstes betroffenes Patchset
  eines supporteten RDBMS-Releases		   Remote Exploit
  ohne Authentifizierunga		  Bemerkung
 1  EM TimesTen plugin
 (RSA BSAFE Crypto-C)		  9.8  alle bis 18.1.4.1.0  Ja  
 1  Install (Apache Log4j)  9.8  alle bis 11.2.2.8.49  Ja  
 1  Install (Dave Gamble/cJSON)  7.5  alle bis 18.1.3.1.0  Ja  
 1  Install (Apache ZooKeeper)  5.9  alle bis 18.1.3.1.0  Ja  

 

Generell gilt: Sollten Sie die in der Spalte "Betroffene Datenbank Komponente" aufgeführte Komponente in Ihrer Datenbank gar nicht installiert haben, so ist Ihre Datenbank von diesem Problem auch nicht betroffen.

Nachfolgende Bugs wurden mit diesem Critical Patch Update für den Database Server behoben:

CVE-2019-12900

CVE-2020-9281
CVE-2020-11023
CVE-2020-13935
CVE-2020-14734
CVE-2020-14735
CVE-2020-14736
CVE-2020-14740
CVE-2020-14741
CVE-2020-14742
CVE-2020-14743
CVE-2020-14762
CVE-2020-14763
CVE-2020-14898
CVE-2020-14899
CVE-2020-14900
CVE-2020-14901

 

Weitere Informationen und eine ausführliche Aufstellung aller ausgelieferter CVEs finden Sie hier:

Öffnet externen Link in neuem FensterOracle Critical Patch Update Advisory - Oktober 2020

Übersicht Critical Patch Update

Opens internal link in current windowHier gelangen Sie zur Übersicht der bisherigen Critical Patch Updates für Oracle Datenbanken.

CRITICAL PATCH UPDATE

Das nächste Oracle CPU erscheint am:
16  Juli 2024

Opens internal link in current windowHier gelangen Sie zum aktuellen CPU

Uli Schertl
Uli Schertl
Ihre Ansprechpartnerin
+49 89 6228 6789-39
uli.schertl@muniqsoft-consulting.de

null

Jede Menge Know-how für Sie!

In unserer Know-How Datenbank finden Sie mehr als 300 ausführliche Beiträge zu den Oracle-Themen wie DBA, SQL, PL/SQL, APEX und vielem mehr.
Hier erhalten Sie Antworten auf Ihre Fragen.

scroll icon
Muniqsoft Consulting Portfolio
Muniqsoft Consulting im Profil
Muniqsoft Consulting Kontakt

Muniqsoft Consulting GmbH
Witneystraße 1
82008 Unterhaching

Telefon: 089 6228 6789-0
Telefax: 089 6228 6789-50

E-Mail senden

© Muniqsoft Consulting GmbH Unterhaching bei München