Am 20. Oktober 2020 hat Oracle die aktuellen Critical Patch Updates zur Verfügung gestellt. Dieser enthält offiziell 18 Security Fixes für die Oracle Datenbanken von 11.2.0.4 (mit Extended Support) bis inklusive 19c (19.9). Wenn man sich aber genauer hinsieht, so fasst Oracle dieses mal eine Menge von CVE´s unter jeweils einen Fix zusammen. Weiter unten finden Sie eine entsprechende Auflistung. Zusätzlich gibt es dieses mal auch eine Reihe von Security fixes für Komponenten rund um die Oracle Datenbank, die nicht von Oracle selbst sind - auch diese Liste finden Sie in dieser Aufstellung.
Oracle Datenbank Server Risk Matrix
| CVE# |
Kompo-
nente |
Package
bzw nötiges
Privilege |
Protokol |
Remote
Exploit
ohne
auth.? |
Base
Score |
Attack
Vector |
Attack
Complex |
Privs
Req'd |
User
Interact |
Scope |
Confid-
entiality |
Inte-
grity |
Avail-
ability |
Supported Versions Affected |
| CVE-2019-12900 |
Core RDBMS (bzip2) |
DBA Level Account |
Oracle Net |
No |
8.8 |
Network |
Low |
Low |
None |
Unchanged |
High |
High |
High |
11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c |
| CVE-2020-14735 |
Scheduler |
Local Logon |
None |
No |
8.8 |
Local |
Low |
Low |
None |
Changed |
High |
High |
High |
11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c |
| CVE-2020-14734 |
Oracle Text |
None |
Oracle Net |
Yes |
8.1 |
Network |
High |
None |
None |
Unchanged |
High |
High |
High |
11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c |
| CVE-2020-13935 |
Workload Manager (Apache Tomcat) |
None |
HTTP |
Yes |
7.5 |
Network |
Low |
None |
None |
Unchanged |
None |
None |
High |
12.2.0.1, 18c, 19c |
| CVE-2020-11023 |
APEX (jQuery) |
None |
HTTP |
Yes |
6.1 |
Network |
Low |
None |
Required |
Changed |
Low |
Low |
None |
Prior to 20.2 |
| CVE-2020-11023 |
ORDS (jQuery) |
None |
HTTP |
Yes |
6.1 |
Network |
Low |
None |
Required |
Changed |
Low |
Low |
None |
11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c |
| CVE-2020-14762 |
APEX |
SQL Workshop |
HTTP |
No |
5.4 |
Network |
Low |
Low |
Required |
Changed |
Low |
Low |
None |
Prior to 20.2 |
| CVE-2020-9281 |
APEX |
Valid User Account |
HTTP |
No |
5.4 |
Network |
Low |
Low |
Required |
Changed |
Low |
Low |
None |
Prior to 20.2 |
| CVE-2020-14899 |
APEX Data Reporter |
Valid User Account |
HTTP |
No |
5.4 |
Network |
Low |
Low |
Required |
Changed |
Low |
Low |
None |
Prior to 20.2 |
| CVE-2020-14900 |
APEX Group Calendar |
Valid User Account |
HTTP |
No |
5.4 |
Network |
Low |
Low |
Required |
Changed |
Low |
Low |
None |
Prior to 20.2 |
| CVE-2020-14898 |
APEX Packaged Apps |
Valid User Account |
HTTP |
No |
5.4 |
Network |
Low |
Low |
Required |
Changed |
Low |
Low |
None |
Prior to 20.2 |
| CVE-2020-14763 |
APEX Quick Poll |
Valid User Account |
HTTP |
No |
5.4 |
Network |
Low |
Low |
Required |
Changed |
Low |
Low |
None |
Prior to 20.2 |
| CVE-2020-14741 |
Database Filesystem |
Resource, Create Table, Create View, Create Procedure, Dbfs_role |
Oracle Net |
No |
4.9 |
Network |
Low |
High |
None |
Unchanged |
None |
None |
High |
11.2.0.4, 12.1.0.2, 12.2.0.1 |
| CVE-2020-14901 |
RDBMS Security |
Analyze Any |
Oracle Net |
No |
4.9 |
Network |
Low |
High |
None |
Unchanged |
High |
None |
None |
19c |
| CVE-2020-14736 |
Database Vault |
Create Public Synonym |
Oracle Net |
No |
3.8 |
Network |
Low |
High |
None |
Unchanged |
Low |
Low |
None |
11.2.0.4, 12.1.0.2, 12.2.0.1 |
| CVE-2020-14743 |
Java VM |
Create Procedure |
Multiple |
No |
3.1 |
Network |
High |
Low |
None |
Unchanged |
None |
Low |
None |
11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c |
| CVE-2020-14740 |
SQL Developer Install |
Client Computer User Account |
Local Logon |
No |
2.8 |
Local |
Low |
Low |
Required |
Unchanged |
Low |
None |
None |
11.2.0.4, 12.1.0.2, 12.2.0.1, 18c |
| CVE-2020-14742 |
Core RDBMS |
SYSDBA level account |
Oracle Net |
No |
2.7 |
Network |
Low |
High |
None |
Unchanged |
None |
Low |
None |
11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c |
Analyse der Security Lücken der Datenbank
Dieses mal sind im Datenbank Kern zwei leicht auszunützende Security Lücken enthalten, die auch noch alle Versionen beginnend mit 11.2.0.4 bis 19c treffen. Aus diesem Grund empfehlen wir, diesen CPU so bald wie möglich einzuspielen! Auch in Oracle Text - einer oft nicht benötigten Option - wird eine Lücke mit hohem Risikopotentiell geschlossen. Viele der weiteren Lücken betreffen APEX bzw. deren Komponenten wie ORDS, Tomcat,...
Weitere Security Lücken, die in der oberen Tabelle inkludiert sind
Hier finden Sie die Liste weiterer Security Lücken, die Oracle in der obigen Tabelle jeweils zusammengefasst hat.
- CVE-2019-12900 inkludiert CVE-2016-3189
- CVE-2020-11023 inkludiert CVE-2019-11358, CVE-2020-11022
- CVE-2020-13935 inkludiert CVE-2020-11996, CVE-2020-13934, CVE-2020-9484
- CVE-2020-14734 inkludiert CVE-2016-10244, CVE-2016-10328, CVE-2016-5300, CVE-2016-6153, CVE-2017-10989, CVE-2017-13685, CVE-2017-13745, CVE-2017-14232, CVE-2017-15286, CVE-2017-7857, CVE-2017-7858, CVE-2017-7864, CVE-2017-8105, CVE-2017-8287, CVE-2018-18873, CVE-2018-19139, CVE-2018-19539, CVE-2018-19540, CVE-2018-19541, CVE-2018-19542, CVE-2018-19543, CVE-2018-20346, CVE-2018-20505, CVE-2018-20506, CVE-2018-20570, CVE-2018-20584, CVE-2018-20622, CVE-2018-20843, CVE-2018-6942, CVE-2018-8740, CVE-2018-9055, CVE-2018-9154, CVE-2018-9252, CVE-2019-15903, CVE-2019-16168, CVE-2019-5018, CVE-2019-8457, CVE-2019-9936, CVE-2019-9937
Liste der behobenen Security Lücken in NON-Oracle Code, der bei Oracle Datenbank in Verwendung ist
Da Oracle immer wieder auf Code anderer zurück greift, werden entsprechende Patches in die Oracle Produkt übernommen. Dieses mal ist die Liste aber extrem umfangreich:
- Core RDBMS (LZ4): CVE-2019-17543
- Core RDBMS (Zstandard): CVE-2019-11922
- Oracle Database (Perl Expat): CVE-2018-20843, CVE-2019-15903
- Oracle Spatial and Graph (Apache Log4j): CVE-2020-9488
- Oracle Spatial and Graph (jackson-databind): CVE-2019-16943, CVE-2017-15095, CVE-2017-17485, CVE-2017-7525, CVE-2018-5968, CVE-2018-7489, CVE-2019-16942, CVE-2019-17531
- Oracle Spatial and Graph MapViewer (jQuery): CVE-2020-11023, CVE-2019-11358 , CVE-2020-11022
- SQL Developer (Apache Batik): CVE-2018-8013, CVE-2017-5662
- SQL Developer (Apache Log4j): CVE-2017-5645
- SQL Developer (Apache POI): CVE-2017-12626, CVE-2016-5000, CVE-2017-5644, CVE-2019-12415
- SQL Developer (jackson-databind): CVE-2018-7489, CVE-2017-15095, CVE-2017-17485, CVE-2018-1000873, CVE-2018-11307, CVE-2018-12022, CVE-2018-5968, CVE-2019-12086, CVE-2019-12384, CVE-2019-12814, CVE-2019-16335, CVE-2019-20330, CVE-2020-8840
- SQL Developer (JCraft JSch): CVE-2016-5725
- SQL Developer Install (Bouncy Castle): CVE-2019-17359, CVE-2016-1000338, CVE-2016-1000339, CVE-2016-1000340, CVE-2016-1000341, CVE-2016-1000342, CVE-2016-1000343, CVE-2016-1000344, CVE-2016-1000345, CVE-2016-1000346, CVE-2016-1000352, CVE-2017-13098, CVE-2018-1000180, CVE-2018-1000613, CVE-2018-5382
Abgesehen von den ersten drei in dieser Liste (LZ4, Zstandard und Perl) befinden sich die Lücken in nicht zwingend für die Datenbank nötigen Produkten (Spatial, SQL Developer). Leider werden diese von Oracle ohne Rückfrage immer mit ausgeliefert und müssen gepatched werden, auch wenn man diese überhaupt nicht verwendet.