Dieser CPU behebt je nach Platform und Datenbank Version 9 Security Leaks, wobei es Patches nur für die Versionen 19c und 21c gibt. Da einige der Patches mehrere CVEs beheben, werden in Summe zwischen 13 und 16 bekannte Lücken geschlossen.
Welche Komponenten sind betroffen?
- Oracle Data Provider for .NET (Windows Clients Only) mit einem CVSS Base Score von 7.5
- Oracle Database Machine Learning for Python (via SQL*Net) mit einem CVSS Base Score von 6.5 nur bei Oracle 21c.
Da der Angriff über SQL*Net erfolgen kann, können alle Datenbanken betroffen sein. - Oracle Database Workload Manager (Jackson-databind) mit einem CVSS Base Score von6.5 nur bei Oracle 21c.
- Oracle RDBMS "CREATE SESSION" mit einem CVSS Base Score von 6.3.
- Oracle Java VM mit einem CVSS Base Score von 4.3.
- Oracle Database (Python) mit einem CVSS Base Score von 4.3 nur Oracle 21c.
- Oracle Database (zlib) mit einem CVSS Base Score von 4.3.
- Oracle Database Data Redaction mit einem CVSS Base Score von 6.3.
Analyse
Für Datenbanken, die noch Oracle 19c sind, und keine Windows .NET Clients benutzt werden, ist der Fehler Oracle RDBM "Create Session" relevant, wobei hier der Datenbank Benutzer aktiv etwas tun muss. Solange keine dezidierten User mit beliebigen Tools sondern nur Applikationen angemeldet werden, sollte dieser CVE in der Regel nicht relevant sein.
Alle anderen CVEs haben einen Score von unter 5. Die Lücken sind damit nicht so kritisch, dass sofortiges Patchen notwendig wäre.
ALERT
Der CPU für Linux wurde seitens Oracle auf Grund eines Fehlers zurückgezogen und kann nicht mehr herunter geladen werden. Die korrigierte Version soll am 31. Jan 2023 bzw. am 1. Feb 2023 wieder zur Verfügung stehen. Weitere Informationen finden Sie im Support Artikel Note: 2923428.1 .
Weiterführende Informationen