Skip to Main Content

Breadcrumb

Oracle CPU 2021

Oracle stellt in der Nach vom 19. auf den 20. Oktober den Okt 2021 CPU bereit. Wie üblich stehen aktuell noch nicht alle Patches auch sofort zum Download bereit. Am 20. Oktober 8Uhr CEST stehen für Oracle 19c nur die Linux bereit. Oracle 12cR2 Patches hingegen auch für Solaris und AIX. Für Oracle 21c war noch kein Patch herunterladbar. Der CPU enthält Patches für die folgenden Oracle Versionen:

  • Oracle 12.1.0.2 ... nur mit extended Support
  • Oracle 12.2.0.1
  • Oracle 19c auf 19.13
  • Oracle 21c auf 21.4

Beginnend mit Oracle 21c gibt es Neuerungen bezüglich der OJVM Patches. Diese sind jetzt integriert in die DB/GI RUs und müssen nicht mehr extra installiert werden. Außerdem gibt es keine COMBO Patches mehr.

Oracle Datenbank Server Risk Matrix

Der CPU enthält je nach Oracle Version bis zu 9 Patches für bis zu 14 Securitylücken.

CVE#Kompo-
nente
Package
bzw nötiges
Privilege
ProtokolRemote
Exploit
ohne
auth.?
Base
Score
Attack
Vector
Attack
Complex
Privs
Req'd
User
Interact
ScopeConfid-
entiality
Inte-
grity
Avail-
ability
Supported Versions Affected
CVE-2021-35599Zero Downtime DB Migration to CloudLocal LogonLocal LogonNo8.2LocalLowHighNoneChangedHighHighHigh21c
CVE-2021-25122, CVE-2020-9484, CVE-2021-25329Oracle Database Enterprise Edition (Apache Tomcat)NoneHTTPYes7.5NetworkLowNoneNoneUnchangedHighNoneNone12.2.0.1, 19c, 21c
CVE-2021-35619Java VMCreate ProcedureOracle NetNo7.1NetworkHighLowRequiredUnchangedHighHighHigh12.1.0.2, 12.2.0.1, 19c, 21c
CVE-2021-2332Oracle LogMinerDBAOracle NetNo6.7NetworkLowHighNoneUnchangedLowHighHigh12.1.0.2, 12.2.0.1, 19c
CVE-2021-35551RDBMS SecurityDBAOracle NetNo5.5NetworkLowHighNoneUnchangedNoneLowHigh12.2.0.1, 19c, 21c
CVE-2021-35557Core RDBMSCreate TableOracle NetNo4.3NetworkLowLowNoneUnchangedNoneNoneLow12.1.0.2, 12.2.0.1, 19c, 21c
CVE-2021-35558Core RDBMSCreate TableOracle NetNo4.3NetworkLowLowNoneUnchangedNoneNoneLow12.1.0.2, 12.2.0.1, 19c, 21c
CVE-2021-26272, CVE-2021-26271Oracle Application Express (CKEditor)NoneHTTPYes4.3NetworkLowNoneRequiredUnchangedNoneNoneLowPrior to 21.1.0
CVE-2021-35576Oracle Database Enterprise Edition Unified AuditLocal LogonOracle NetNo2.7NetworkLowHighNoneUnchangedNoneLowNone12.1.0.2, 12.2.0.1, 19c

Analyse der Security Lücken der Datenbank

Die kritischste Lücke CVE-2021-35599 betrifft nur Oracle 21c, welche aktuell nur selten genutzt wird. Die Lücken CVE-2021-25122, CVE-2020-9484 und CVE-2021-25329 betreffen Oracle EE Apache Tomcat und somit nur diejenigen, die Tomcat - beispielsweise für APEX - nutzen. CVE-2021-35619 ist nur relevant, wenn man JVM in der Datenbank installiert hat.

Die erste Lücke, die alle betrifft, ist CVE-2021-2332 mit einem Base Score von 6.7. Da diese zur Ausnutzung DBA Privilegien benötigt, kann man sich schützen indem man einerseits Netzwerkverschlüsselung erzwingt sowie verhindert, dass Applikationen das DBA Privileg haben. Gleiches gilt dann auch für die Lücke CVE-2021-35551. Alle weiteren Lücken weisen nur noch einen Base Score von 4.3 oder niedriger aus.

Zusammengefasst sollte man den Patch nur dann schnellstmöglich einspielen, wenn man Oracle Tomcat (zb: APEX) nutzt oder die Oracle Netzwerverschlüsselung nicht erzwingt. Ebenfalls kurzfristig Patchen sollte man, wenn Applikationsbenutzer DBA Privilegien haben.

Weitere im CPU inkludierte Patches

  • Autonomous Health Framework (Apache Commons IO): CVE-2021-29425
  • GraalVM Multilingual Engine: CVE-2021-29921, CVE-2020-28928, CVE-2021-2341, CVE-2021-2369, CVE-2021-2388 und CVE-2021-2432
  • Oracle Spatial and Graph - GeoRaster (OpenJPEG): CVE-2020-27824

Referenzen