In der Nacht vom 18. auf den 19. Juli 2023 sind die CPUs Jul 2023 online gegangen. Wie üblich sind noch nicht alle Patches sofort verfügbar, einige - beispielsweise für Windows - kommen erst in den nächsten Tagen. Der CPU ist nur für Oracle 19c und 21c verfügbar, somit gibt es keine Patches mehr für Oracle 18c oder älter.
Für die Oracle Datenbank gibt es nur 5 Security Patches
- CVE-2022-43680 für Oracle Text mit einem Base Score von 6.5, nur relevant, wenn die Datenbank Componente CONTEXT in der Datenbank enthalten ist.
- CVE-2023-23931 OML4Py (cryptography) mit einem Base Score von 5.4
- CVE-2023-22034 Unified Audit mit einem Base Score von 4.9
- CVE-2023-21949 Advanced Networking Option mit einem Base Score von 4.7
- CVE-2023-22052 Java VM mit einem Base Score von 3.1, nur relevant, wenn die Datenbank Componente JAVAVM in der Datenbank enthalten ist.
Der CPU enthält noch weitere non-exploitable CVEs
- Core (lz4): CVE-2021-3520 [VEX Justification: vulnerable_code_cannot_be_controlled_by_adversary].
- Oracle Database (Apache Tomcat): CVE-2023-34981, CVE-2022-45143, CVE-2023-24998, CVE-2023-28708 and CVE-2023-28709 [VEX Justification: vulnerable_code_not_present].
- Oracle Database Workload Manager (Dexie): CVE-2022-21189 and CVE-2023-30533 [VEX Justification: vulnerable_code_not_in_execute_path].
Weitere datenbanknahe Produkte mit Security Patches
- APEX ... 3 CVEs
- Big Data Spatial und Graph ... 1 CVE
- Spatial Studio ... 1 CVE sowie zwei non-exploitable CVEs (VEX Justification: vulnerable_code_not_in_execute_path in mehreren Componenten)
- Golden Gate ... 3 CVEs sowie einige non-exploitable CVEs (VEX Justification: vulnerable_code_not_in_execute_path in mehreren Componenten)
- Oracle Clients (DB Client, Graph Client) ... 2 CVEs und viele non-exploitable CVEs
Referenzen