Skip to Main Content

Breadcrumb

CPU Jan 2022

Der Jan 2022 CPU ist aus Sicht der DBAs mehr wie erfreulich.

Es gibt nur 4 Security Lücken in der Datenbank:

  • Zwei betreffen APEX … nur relevant, wenn APEX  in der Datenbank installiert ist
  • Eines betrifft OJVM … nur relevant, wenn Java in der Datenbank installiert ist
  • Eine Lücke betrifft den RDBMS Kern. Sie hat einen Base Score von 2.7 und setzt eine vorhandene Datenbankverbindung mit vielen Datenbank Privilegien voraus.
    Sofern man sich an unsere Empfehlungen hält, die Netzwerkverbindungen verschlüsselt hat und dafür sorgt, dass die Datenbank Benutzer nur die notwendigen Rechte aufweisen,
    dürfte diese Security Lücke nicht relevant sein.

Allerdings gibt es auf Grund von Log4j und anderen Themen weitere Security Lücken, die hier berücksichtigt und gepatched werden:

  • Oracle Database Configuration Assistant (Apache Commons Compress): CVE-2021-36090, CVE-2021-35515, CVE-2021-35516 and CVE-2021-35517.
  • Oracle Spatial and Graph (Apache Log4j): CVE-2021-45105.
  • Trace file analyzer (Apache Log4j): CVE-2021-45105.
  • Workload Manager (Guava): CVE-2020-8908.
  • Workload Manager (Jetty): CVE-2021-28165, CVE-2021-28169 and CVE-2021-34428

Der DBCA ist nur anfällig, solange er  läuft. Bei Spatial und Graph sind die GUI Tools gemeint. Die werden seitens Oracle zwar mit der Oracle Datenbank Software ausgeliefert, aber  durch CPUs seit mehr wie einem Jahr gelöscht - sollten somit nicht mehr am Datenbank Server vorhanden sein. Für den TFA gibt es eine Mitigationsanleitung bezüglich Log4j, die die meisten Kunden schon umgesetzt haben. Der Workload Manager ist auch nur anfällig, wenn er am Datenbank Server gestartet wird.

Zusammenfassung:

Das Einspielen dieses CPUs hat nur dann Priorität, wenn  schon länger wie ein Jahr keinen CPU eingespielt wurden (Spatial und Graph) bzw. Log4j Mitigationen nicht durchgeführt wurden.

Weitere Informationen: