Es ist wieder so weit. Oracle hat den Critical Patch Update für Juli 2024 bereitgestellt.
Für die Datenbanken gibt es dieses mal Patches für 8 Sicherheitslücken, wobei einige nur dann relevant sind, wenn man diese Funktionalität auch nutzt (Fleet Patching and Provisioning, Clusterware,…). Die Oracle 19c Version wird damit auf 19.24 angehoben. Der Download für Linux x86_64 ist schon möglich, für andere Plattformen dauert es wie üblich noch einige Zeit (aktuell für Ende Juli 2024 angekündigt).
Anmerkungen
- Wenn Sie Fleet Patching and Provisioning nicht einsetzen, hat diese Lücke keine Auswirkung.
- Leider ist das EXECUTE Recht auf SYS.XS_DIAG an PUBLIC gegranted, womit alle Oracle Datenbanken von der Lücke betroffen sind.
- Die Lücke für die Clusterware ist auch nur für jene interessant, die diese installiert haben. Vorsicht, beim Einsatz von ASM ist die Clusterware ebenfalls genutzt!
- Die Lücke in OpenSSL betrifft ebenfalls alle Datenbank Editionen, allerdings erst ab Oracle 23ai.
- Die anderen Lücken - mit Ausnahme von JavaVM - treffen ebenfalls alle Datenbanken. Die für JavaVM jedoch nur, wenn Java IN der Datenbank konfiguriert ist.
Wir empfehlen allen Kunden das baldige Einspielen dieses CPUs.
Referenzen
- Oracle Critical Patch Update Advisory - July 2024
- Critical Patch Update (CPU) Program Jul 2024 Patch Availability Document (DB-only) (Doc ID 3027813.1)