Home > News > Oracle CPU Okt 2020 ist da

Oracle CPU Okt 2020 ist da

Am 20. Oktober 2020 hat Oracle die aktuellen Critical Patch Updates zur Verfügung gestellt. Dieser enthält offiziell 18 Security Fixes für die Oracle Datenbanken von 11.2.0.4 (mit Extended Support) bis inklusive 19c (19.9). Wenn man sich aber genauer hinsieht, so fasst Oracle dieses mal eine Menge von CVE´s unter jeweils einen Fix zusammen. Weiter unten finden Sie eine entsprechende Auflistung. Zusätzlich gibt es dieses mal auch eine Reihe von Security fixes für Komponenten rund um die Oracle Datenbank, die nicht von Oracle selbst sind - auch diese Liste finden Sie in dieser Aufstellung.

Oracle Datenbank Server Risk Matrix

CVE# Kompo-
nente
Package
bzw nötiges
Privilege
Protokol Remote
Exploit
ohne
auth.?
Base
Score
Attack
Vector
Attack
Complex
Privs
Req'd
User
Interact
Scope Confid-
entiality
Inte-
grity
Avail-
ability
Supported Versions Affected
CVE-2019-12900 Core RDBMS (bzip2) DBA Level Account Oracle Net No 8.8 Network Low Low None Unchanged High High High 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c
CVE-2020-14735 Scheduler Local Logon None No 8.8 Local Low Low None Changed High High High 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c
CVE-2020-14734 Oracle Text None Oracle Net Yes 8.1 Network High None None Unchanged High High High 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c
CVE-2020-13935 Workload Manager (Apache Tomcat) None HTTP Yes 7.5 Network Low None None Unchanged None None High 12.2.0.1, 18c, 19c
CVE-2020-11023 APEX (jQuery) None HTTP Yes 6.1 Network Low None Required Changed Low Low None Prior to 20.2
CVE-2020-11023 ORDS (jQuery) None HTTP Yes 6.1 Network Low None Required Changed Low Low None 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c
CVE-2020-14762 APEX SQL Workshop HTTP No 5.4 Network Low Low Required Changed Low Low None Prior to 20.2
CVE-2020-9281 APEX Valid User Account HTTP No 5.4 Network Low Low Required Changed Low Low None Prior to 20.2
CVE-2020-14899 APEX Data Reporter Valid User Account HTTP No 5.4 Network Low Low Required Changed Low Low None Prior to 20.2
CVE-2020-14900 APEX Group Calendar Valid User Account HTTP No 5.4 Network Low Low Required Changed Low Low None Prior to 20.2
CVE-2020-14898 APEX Packaged Apps Valid User Account HTTP No 5.4 Network Low Low Required Changed Low Low None Prior to 20.2
CVE-2020-14763 APEX Quick Poll Valid User Account HTTP No 5.4 Network Low Low Required Changed Low Low None Prior to 20.2
CVE-2020-14741 Database Filesystem Resource, Create Table, Create View, Create Procedure, Dbfs_role Oracle Net No 4.9 Network Low High None Unchanged None None High 11.2.0.4, 12.1.0.2, 12.2.0.1
CVE-2020-14901 RDBMS Security Analyze Any Oracle Net No 4.9 Network Low High None Unchanged High None None 19c
CVE-2020-14736 Database Vault Create Public Synonym Oracle Net No 3.8 Network Low High None Unchanged Low Low None 11.2.0.4, 12.1.0.2, 12.2.0.1
CVE-2020-14743 Java VM Create Procedure Multiple No 3.1 Network High Low None Unchanged None Low None 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c
CVE-2020-14740 SQL Developer Install Client Computer User Account Local Logon No 2.8 Local Low Low Required Unchanged Low None None 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c
CVE-2020-14742 Core RDBMS SYSDBA level account Oracle Net No 2.7 Network Low High None Unchanged None Low None 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c

Analyse der Security Lücken der Datenbank

Dieses mal sind im Datenbank Kern zwei leicht auszunützende Security Lücken enthalten, die auch noch alle Versionen beginnend mit 11.2.0.4 bis 19c treffen. Aus diesem Grund empfehlen wir, diesen CPU so bald wie möglich einzuspielen! Auch in Oracle Text - einer oft nicht benötigten Option - wird eine Lücke mit hohem Risikopotentiell geschlossen. Viele der weiteren Lücken betreffen APEX bzw. deren Komponenten wie ORDS, Tomcat,...

Weitere Security Lücken, die in der oberen Tabelle inkludiert sind

Hier finden Sie die Liste weiterer Security Lücken, die Oracle in der obigen Tabelle jeweils zusammengefasst hat.

  • CVE-2019-12900 inkludiert CVE-2016-3189
  • CVE-2020-11023 inkludiert CVE-2019-11358, CVE-2020-11022
  • CVE-2020-13935 inkludiert CVE-2020-11996, CVE-2020-13934, CVE-2020-9484
  • CVE-2020-14734 inkludiert CVE-2016-10244, CVE-2016-10328, CVE-2016-5300, CVE-2016-6153, CVE-2017-10989, CVE-2017-13685, CVE-2017-13745, CVE-2017-14232, CVE-2017-15286, CVE-2017-7857, CVE-2017-7858, CVE-2017-7864, CVE-2017-8105, CVE-2017-8287, CVE-2018-18873, CVE-2018-19139, CVE-2018-19539, CVE-2018-19540, CVE-2018-19541, CVE-2018-19542, CVE-2018-19543, CVE-2018-20346, CVE-2018-20505, CVE-2018-20506, CVE-2018-20570, CVE-2018-20584, CVE-2018-20622, CVE-2018-20843, CVE-2018-6942, CVE-2018-8740, CVE-2018-9055, CVE-2018-9154, CVE-2018-9252, CVE-2019-15903, CVE-2019-16168, CVE-2019-5018, CVE-2019-8457, CVE-2019-9936, CVE-2019-9937

Liste der behobenen Security Lücken in NON-Oracle Code, der bei Oracle Datenbank in Verwendung ist

Da Oracle immer wieder auf Code anderer zurück greift, werden entsprechende Patches in die Oracle Produkt übernommen. Dieses mal ist die Liste aber extrem umfangreich:

  • Core RDBMS (LZ4): CVE-2019-17543
  • Core RDBMS (Zstandard): CVE-2019-11922
  • Oracle Database (Perl Expat): CVE-2018-20843, CVE-2019-15903
  • Oracle Spatial and Graph (Apache Log4j): CVE-2020-9488
  • Oracle Spatial and Graph (jackson-databind): CVE-2019-16943, CVE-2017-15095, CVE-2017-17485, CVE-2017-7525, CVE-2018-5968, CVE-2018-7489, CVE-2019-16942, CVE-2019-17531
  • Oracle Spatial and Graph MapViewer (jQuery): CVE-2020-11023, CVE-2019-11358 , CVE-2020-11022
  • SQL Developer (Apache Batik): CVE-2018-8013, CVE-2017-5662
  • SQL Developer (Apache Log4j): CVE-2017-5645
  • SQL Developer (Apache POI): CVE-2017-12626, CVE-2016-5000, CVE-2017-5644, CVE-2019-12415
  • SQL Developer (jackson-databind): CVE-2018-7489, CVE-2017-15095, CVE-2017-17485, CVE-2018-1000873, CVE-2018-11307, CVE-2018-12022, CVE-2018-5968, CVE-2019-12086, CVE-2019-12384, CVE-2019-12814, CVE-2019-16335, CVE-2019-20330, CVE-2020-8840
  • SQL Developer (JCraft JSch): CVE-2016-5725
  • SQL Developer Install (Bouncy Castle): CVE-2019-17359, CVE-2016-1000338, CVE-2016-1000339, CVE-2016-1000340, CVE-2016-1000341, CVE-2016-1000342, CVE-2016-1000343, CVE-2016-1000344, CVE-2016-1000345, CVE-2016-1000346, CVE-2016-1000352, CVE-2017-13098, CVE-2018-1000180, CVE-2018-1000613, CVE-2018-5382

Abgesehen von den ersten drei in dieser Liste (LZ4, Zstandard und Perl) befinden sich die Lücken in nicht zwingend für die Datenbank nötigen Produkten (Spatial, SQL Developer). Leider werden diese von Oracle ohne Rückfrage immer mit ausgeliefert und müssen gepatched werden, auch wenn man diese überhaupt nicht verwendet.