Der Oracle Critical Patch Update April 2021 ist da.
Je nach Oracle Datenbank Version gibt es bis zu 10 Security Patches (genau genommen sogar noch 7 mehr, diese sind aber in den 10 Patches mit abgedeckt). Zwei davon - CVE-2020-5360 und CVE-2019-3740 - treffen praktisch alle Oracle Datenbanken, da es sich um Angriffsvektoren über das Netzwerk handelt, die man auch noch relativ leicht umsetzen kann. Überhaupt sind fast alle Lücken über Netzwerkprotokolle ausnutzbar.
Da der Base Score mit 7.5 gerade relativ hoch liegt, sollte man das einspielen der entsprechenden Patches einplanen.
Oracle Datenbank Risk Matrix
CVE# | Component | Package and/or Privilege Required | Protocol | Remote Exploit without Auth.? | CVSS VERSION 3.1 RISK Definition | Supported Versions Affected |
---|
Base Score | Attack Vector | Attack Complex | Privs Req'd | User Interact | Scope | Confid- entiality | Inte- grity | Avail- ability |
---|
CVE-2020-5360 | Oracle Database - Enterprise Edition Security (Dell BSAFE Micro Edition Suite) | None | Multiple | Yes | 7.5 | Network | Low | None | None | Unchanged | None | None | High | 12.1.0.2, 12.2.0.1, 18c, 19c |
---|
CVE-2020-17527 | Workload Manager (Apache Tomcat) | None | HTTP | Yes | 7.5 | Network | Low | None | None | Unchanged | High | None | None | 18c, 19c |
---|
CVE-2019-3740 | Oracle Database - Enterprise Edition (Dell BSAFE Crypto-J) | None | Oracle Net | Yes | 6.5 | Network | Low | None | Required | Unchanged | High | None | None | 12.1.0.2, 12.2.0.1, 18c, 19c |
---|
CVE-2020-11023 | Oracle Application Express (jQuery) | None | HTTP | Yes | 6.1 | Network | Low | None | Required | Changed | Low | Low | None | Prior to 20.2 |
---|
CVE-2021-2234 | Java VM | Create Session | Oracle Net | No | 5.3 | Network | High | Low | None | Unchanged | None | High | None | 12.1.0.2, 12.2.0.1, 18c, 19c |
---|
CVE-2020-7760 | Oracle Application Express (CodeMirror) | Valid User Account | HTTP | No | 4.3 | Network | Low | Low | None | Unchanged | None | None | Low | Prior to 20.2 |
---|
CVE-2021-2173 | Recovery | DBA Level Account | Oracle Net | No | 4.1 | Network | Low | High | None | Changed | Low | None | None | 12.1.0.2, 12.2.0.1, 18c, 19c |
---|
CVE-2021-2175 | Database Vault | Create Any View, Select Any View | Oracle Net | No | 2.7 | Network | Low | High | None | Unchanged | Low | None | None | 12.1.0.2, 12.2.0.1, 18c, 19c |
---|
CVE-2021-2245 | Oracle Database - Enterprise Edition Unified Audit | Create Audit Policy | Oracle Net | No | 2.7 | Network | Low | High | None | Unchanged | None | Low | None | 18c,19c |
---|
CVE-2021-2207 | Oracle Database - Enterprise Edition | RMAN executable | Local Logon | No | 2.3 | Local | Low | High | None | Unchanged | None | Low | None | 12.1.0.2, 12.2.0.1, 18c, 19c |
---|
Weitere Informationen