Home > News > Oracle CPU Jan 2019 ist da

Oracle CPU Jan 2019 ist da

In der Nacht vom 15. auf den 16. Jänner hat Oracle den CPU Jan 2019 freigegeben. Auch dieses Mal sind viele für Datenbanken relevante Security Patches dabei.

Oracle Datenbank

Wieder einmal gibt es 3 Security Leaks, wovon eines JVM betrifft. Die beiden anderen - mit höherem Scoring - betreffen aber den Datenbank Kern. Da diese mit einem Score von 8.2 und 7.2 recht hoch - und damit als gefährlich eingestuft - sind, empfehlen wir den Jan CPU 2019 einzuspielen. Die Patches gibt es für 12.2.0.1/12.2.0.2 und 18c.

Details zu den Security Leaks

CVE-2019-2444 ... Score 8.2, benötigt aber ein Login am Datenbank Server. Solange am Datenbank Server nur Administratoren Zugriff haben, scätzen  wir das als nicht so kritisch ein. Laufen Applikationen direkt am Datenbank Server oder haben Endbenutzer Logins am Datenbank Server, gehört der Patch umgehend eingespielt.

CVE-2019-2406 ... Score 7.2, ist über das Netzwerk ausnutzbar, setzt aber das Privileg „EXECUTE CATALOG ROLE“ voraus, das eigentlich nur DBA Benutzer haben sollten (SYS, SYSTEM,...). Sofern Applikationsbenutzern dieses Recht nicht eingeräumt bekommen haben, ist die Angriffsfläche nicht sehr groß. Trotzdem empfehlen wir, das Einspielen des Patches zu planen.

Der dritte Datenbank Patch betrifft nur die JVM und hat einen relativ niedrigen Score von 3.5.

Oracle Enterprise Manager Cloud Control

Hier gibt es mehrere Security Leaks - selbst schon in der Basis. Der Schlimmste ist der CVE-2016-4000 mit einem Score von 9.8, der einfach über das Netzwerk ausgenutzt werden kann. Es gibt Patches für OEM 12.1.0.5, 13.2 und 13.3

Weitere Informationen