Dieser CPU behebt 5 Datenbank Security Leaks, wobei einige nur in einzelnen Oracle Datenbank Versionen auftreten. Alle Lücken setzen eine Authentifizierung in der Datenbank voraus, sind - bis auf CVE-2021-22569 - auch über das Netzwerk ausnutzbar.

• CVE-2022-21410 betrifft nur Oracle 19c mit Database Sharding und weist einen Base Score von 7.2 auf.
• CVE-2022-21498 betrifft die JavaVM in Oracle 12.1.0.2, 19c und 21c mit einem Base Score von 6.5.
• CVE-2022-41165 (inkludiert CVE-2021-41164) trifft APEX (CKEditor) in allen Edition bis Oracle 22.1 mit einem Base Score von 5.4.
• CVE-2022-21411 ist nur relevant, wenn Oracle Gateways bzw. Heterogenious Services in Oracle 12.1.0.2, 19c und 21c genutzt werden.
• CVE-2021-22569 tritt nur in Verbindung mit Oracle Spatial und Graph MapViewer bei lokalen Datenbank Connects in 19c und 21c auf.

Alle Lücken treten ausschließlich in Verbindung mit Optionen (OJVM, APEX, Gateway, Spatial & Graph) bzw. selten eingesetzten Funktionalitäten (Sharding) auf. Wird keine dieser Komponenten eingesetzt, kann dieser CPU übersprungen werden. Alle Nutzer von Database Sharding und OJVM sollten allerdings den Patch baldmöglichst einspielen.

Auch im Oracle Autonomous Health Framework gibt es ein Security Leak, das trifft aber nur Engineered Systeme und setzt ein Login am Server (nicht Datenbank) voraus.

Schlimm erwischt hat es die Oracle Blockchain Platform mit 15 Security Leaks - sofern diese onPremise betrieben wird, sollte der CPU umgehend eingespielt werden.

Auch in GoldenGate gibt es 5 Security Leaks, die ein sofortiges Handeln (Patchen) erforderlich machen.

Referenzen

• Oracle Critical Patch Update April 2022
• Critical Patch Update (CPU) Program Apr 2022 Patch Availability Document (DB-only) (Doc ID 2844795.1)