Home > News > Oracle CPU JULI 2020

Oracle CPU JULI 2020

Der Datenbank CPU behebt - neben den knapp 20 angeführten - in Summe über 50 Sicherheitslücken für Datenbanken von Oracle 11.2.0.4, 12.1.0.2 (beide nur mit Extended Support), 12.2.0.1, 18c und 19c ab. Einige der Lücken befinden sich im Spatial Umfeld (Studio, MapViewer, GeoRaster), das seit einiger Zeit für alle Datenbank Editionen gratis zur Verfügung steht. Wenn man sich die Risk Matrix genauer ansieht, so gibt es 3 Lücken mit einem Base Score von über 7 (von 10). Diese sind in folgenden Komponenten zu finden:

  • CVE-2016-1000031 MapViewer (Apache Commons FileUpload) mit einem Base Score von 8.8
  • CVE-2020-2968 Java VM mit einem Base Score von 8.0
  • CVE-2016-9843 Core RDBMS (zlib) mit einem Base Score von 7.2, allerdings ist hier nur Oracle 18c betroffen.

Relevant - aber mit einem Basis Score von 6.6 nicht ganz so kritisch - ist noch eine Lücke im Data Pump, wenn man zusätzlich DBA Berechtigungen hat. Viele der Lücken wurden auch in APEX behoben, allerdings weisen diese jeweils nur einen Score von 5.4 auf.

Empfehlungen

Wenn man die Java VM Option in der Datenbank installiert hat oder Oracle 18c einsetzt, sollte man den CPU unverzüglich einspielen. Gleiches gilt für die Nutzer von Spatial im Zusammenhang mit dem MapViewer und/oder GeoRaster.

Referenzen