Der Oracle Critical Patch Update April 2021 ist da.
Je nach Oracle Datenbank Version gibt es bis zu 10 Security Patches (genau genommen sogar noch 7 mehr, diese sind aber in den 10 Patches mit abgedeckt). Zwei davon - CVE-2020-5360 und CVE-2019-3740 - treffen praktisch alle Oracle Datenbanken, da es sich um Angriffsvektoren über das Netzwerk handelt, die man auch noch relativ leicht umsetzen kann. Überhaupt sind fast alle Lücken über Netzwerkprotokolle ausnutzbar.
Da der Base Score mit 7.5 gerade relativ hoch liegt, sollte man das einspielen der entsprechenden Patches einplanen.
Oracle Datenbank Risk Matrix
| CVE# | Component | Package and/or Privilege Required | Protocol | Remote
Exploit
without
Auth.? | CVSS VERSION 3.1 RISK Definition | Supported Versions Affected |
|---|
Base
Score | Attack
Vector | Attack
Complex | Privs
Req'd | User
Interact | Scope | Confid-
entiality | Inte-
grity | Avail-
ability |
|---|
| CVE-2020-5360 | Oracle Database - Enterprise Edition Security (Dell BSAFE Micro Edition Suite) | None | Multiple | Yes | 7.5 | Network | Low | None | None | Unchanged | None | None | High | 12.1.0.2, 12.2.0.1, 18c, 19c |
|---|
| CVE-2020-17527 | Workload Manager (Apache Tomcat) | None | HTTP | Yes | 7.5 | Network | Low | None | None | Unchanged | High | None | None | 18c, 19c |
|---|
| CVE-2019-3740 | Oracle Database - Enterprise Edition (Dell BSAFE Crypto-J) | None | Oracle Net | Yes | 6.5 | Network | Low | None | Required | Unchanged | High | None | None | 12.1.0.2, 12.2.0.1, 18c, 19c |
|---|
| CVE-2020-11023 | Oracle Application Express (jQuery) | None | HTTP | Yes | 6.1 | Network | Low | None | Required | Changed | Low | Low | None | Prior to 20.2 |
|---|
| CVE-2021-2234 | Java VM | Create Session | Oracle Net | No | 5.3 | Network | High | Low | None | Unchanged | None | High | None | 12.1.0.2, 12.2.0.1, 18c, 19c |
|---|
| CVE-2020-7760 | Oracle Application Express (CodeMirror) | Valid User Account | HTTP | No | 4.3 | Network | Low | Low | None | Unchanged | None | None | Low | Prior to 20.2 |
|---|
| CVE-2021-2173 | Recovery | DBA Level Account | Oracle Net | No | 4.1 | Network | Low | High | None | Changed | Low | None | None | 12.1.0.2, 12.2.0.1, 18c, 19c |
|---|
| CVE-2021-2175 | Database Vault | Create Any View, Select Any View | Oracle Net | No | 2.7 | Network | Low | High | None | Unchanged | Low | None | None | 12.1.0.2, 12.2.0.1, 18c, 19c |
|---|
| CVE-2021-2245 | Oracle Database - Enterprise Edition Unified Audit | Create Audit Policy | Oracle Net | No | 2.7 | Network | Low | High | None | Unchanged | None | Low | None | 18c,19c |
|---|
| CVE-2021-2207 | Oracle Database - Enterprise Edition | RMAN executable | Local Logon | No | 2.3 | Local | Low | High | None | Unchanged | None | Low | None | 12.1.0.2, 12.2.0.1, 18c, 19c |
|---|
Weitere Informationen