In der Nacht vom 14. auf den 15. Jänner hat Oracle den CPU Jan 2020 freigegeben. Auch dieses Mal sind einige für Datenbanken relevante Security Patches dabei.

Oracle Datenbank

Es gibt zwei Patches für die Datenbank und einen für die JVM in der Datenbank, die allesamt einen Score von über 7 haben und damit relativ hoch eingestuft sind. Daher empfehlen wir, den Jan CPU 2020 einzuspielen. Die Patches gibt es für 12.2.0.1/12.2.0.2, 18c und 19c, zwei sogar für 11.2.0.4.

Details zu den Security Leaks

CVE-2020-2510 betrifft den Datenbank Kern und Versionen 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c und 19c. Die Vulnerability wird als schwierig umzusetzen beschrieben, erlaubt aber einem Angreifer ohne Authentifizierung mit Netzwerk-Zugang eventuell die Datenbank zu übernehmen. Es ist allerdings der (unbeteiligte) Zugriff von authorisierten Usern notwendig - offensichtlich können einem arglosem User gefährliche Aktionen untergeschoben werden.

CVE-2020-2511 betrifft ebenfalls den Datenbank Kern und Versionen 12.1.0.2, 12.2.0.1, 18c und 19c. Die Vulnaerability erlaubt es Angreifern mittels einer Session in der Datenbank DOS-Attacken gegen die Datenbank bzw andere Produkte auszuführen. Der Exploit wird als leicht durchführbar eingestuft.

CVE-2020-2518 betrifft die Java VM in der Datenbank. Betroffene Versionen sind 11.2.0.4, 12.1.0.1, 12.2.0.1, 18c und 19c.

Eigenen Angaben zufolge hat Oracle insgesamt 334 Updates veröffentlicht.

Weitere Links:

https://www.oracle.com/security-alerts/cpujan2020.html?source=:em:gbc:ie:cpo:RC_SPPT191209P00045:SEV400023256&elq_mid=153094&sh=2411120926153402232828&cmid=SPPT191209P00045#AppendixDB

https://www.oracle.com/security-alerts/cpujan2020verbose.html