Skip to Main Content
  • Home
  • News
  • Oracle CPU Apr 2024 ist verfügbar

Breadcrumb

Oracle CPU Apr 2024 ist verfügbar

Der Critical Patch Update April 2024 ist gerade erschienen. Im Datenbank Umfeld werden 12 Security Lücken behoben, wobei nur 8 direkt in der Oracle Datenbank schlummern. Lediglich Oracle 19c und 21c bekommen aktuell Patches.

In der Risk Matrix findet man, in welchem Bereich (Komponente) und welche Versionen betroffen sind:

Auch wenn man weder die Oracle Grid Infrastruktur noch SQLcl nutzt kann man betroffen sein, weil die Angriffe über das Netzwerk via SSH erfolgen. Der einzige Schutz ist, dass man den Remotezugang (via SSH) nur über ein eigenes Admin Netzwerk erlaubt und auf dem Client-Netzwerk lediglich Oracle Net (SQLNET) Verbindungen erlaubt sind.

Wie so oft ist wieder die JavaVM sowie die GraalVM betroffen, sofern diese in der Oracle Datenbank konfiguriert ist (eine Nutzung muss nicht vorliegen).

Die Lücke im Unified Audit setzt eine Anmeldung as SYSDBA voraus - hier ist der beste Schutz ein gutes Passwort für den Benutzer SYS.

Alle anderen Lücken setzten ebenfalls eine Anmeldung an der Datenbank voraus, auch hier hilft ein gutes Passwort Management um die Gefahr zu reduzieren.

Auch dieses Mal, behebt ein Fix für ein Problem gleichzeitig auch andere Fehler:

  • Der Patch für CVE-2023-36632 behebt auch CVE-2023-40217, CVE-2023-41105 sowie CVE-2023-49083.
  • Der Patch für  CVE-2023-5072 behebt auch CVE-2023-44487, CVE-2024-20918, CVE-2024-20919, CVE-2024-20921, CVE-2024-20922, CVE-2024-20923, CVE-2024-20925, CVE-2024-20926, CVE-2024-20932, CVE-2024-20945 sowie CVE-2024-20952.

Zusätzlich zu den genannten Patches sind auch andere Security Lücken behoben, die jedoch aus Sicht von Oracle nicht ausnutzbar sind. Die vollständige Liste erhalten Sie im Oracle Critical Patch Update Advisory April 2024.

Wie immer stehen noch nicht alle Patches für alle Plattformen schon zur Verfügung. Für AIX, HP-UX Itanium und Windows werden die Patches bis Ende April erwartet. Für Linux x86-64 stehen die meisten Patches schon zum Download zur Verfügung bzw sollen diese bis Ende dieser Woche verfügbar sein.