Skip to Main Content

Breadcrumb

April 2021 CPU - Oracle 19.11

Der Oracle Critical Patch Update April 2021 ist da.

Je nach Oracle Datenbank Version gibt es bis zu 10 Security Patches (genau genommen sogar noch 7 mehr, diese sind aber in den 10 Patches mit abgedeckt). Zwei davon - CVE-2020-5360 und CVE-2019-3740 - treffen praktisch alle Oracle Datenbanken, da es sich um Angriffsvektoren über das Netzwerk handelt, die man auch noch relativ leicht umsetzen kann. Überhaupt sind fast alle Lücken über Netzwerkprotokolle ausnutzbar.

Da der Base Score mit 7.5 gerade relativ hoch liegt, sollte man das einspielen der entsprechenden Patches einplanen. 

Oracle Datenbank Risk Matrix

CVE#ComponentPackage and/or Privilege RequiredProtocolRemote
Exploit
without
Auth.?
CVSS VERSION 3.1 RISK DefinitionSupported Versions Affected
Base
Score
Attack
Vector
Attack
Complex
Privs
Req'd
User
Interact
ScopeConfid-
entiality
Inte-
grity
Avail-
ability
CVE-2020-5360Oracle Database - Enterprise Edition Security (Dell BSAFE Micro Edition Suite)NoneMultipleYes7.5NetworkLowNoneNoneUnchangedNoneNoneHigh12.1.0.2, 12.2.0.1, 18c, 19c
CVE-2020-17527Workload Manager (Apache Tomcat)NoneHTTPYes7.5NetworkLowNoneNoneUnchangedHighNoneNone18c, 19c
CVE-2019-3740Oracle Database - Enterprise Edition (Dell BSAFE Crypto-J)NoneOracle NetYes6.5NetworkLowNoneRequiredUnchangedHighNoneNone12.1.0.2, 12.2.0.1, 18c, 19c
CVE-2020-11023Oracle Application Express (jQuery)NoneHTTPYes6.1NetworkLowNoneRequiredChangedLowLowNonePrior to 20.2
CVE-2021-2234Java VMCreate SessionOracle NetNo5.3NetworkHighLowNoneUnchangedNoneHighNone12.1.0.2, 12.2.0.1, 18c, 19c
CVE-2020-7760Oracle Application Express (CodeMirror)Valid User AccountHTTPNo4.3NetworkLowLowNoneUnchangedNoneNoneLowPrior to 20.2
CVE-2021-2173RecoveryDBA Level AccountOracle NetNo4.1NetworkLowHighNoneChangedLowNoneNone12.1.0.2, 12.2.0.1, 18c, 19c
CVE-2021-2175Database VaultCreate Any View, Select Any ViewOracle NetNo2.7NetworkLowHighNoneUnchangedLowNoneNone12.1.0.2, 12.2.0.1, 18c, 19c
CVE-2021-2245Oracle Database - Enterprise Edition Unified AuditCreate Audit PolicyOracle NetNo2.7NetworkLowHighNoneUnchangedNoneLowNone18c,19c
CVE-2021-2207Oracle Database - Enterprise EditionRMAN executableLocal LogonNo2.3LocalLowHighNoneUnchangedNoneLowNone12.1.0.2, 12.2.0.1, 18c, 19c

Weitere Informationen