Wieder einmal ist ein neuen Critical Patch Update erschienen. Die Patches selbst sind großteils noch nicht herunterladbar. Für Linux ist die Verfügbarkeit für den 20. Juli angekündigt. Andere Unix Plattformen sollen bis Ende Juli folgen und Windows eine Woche später.
Patches gibt es aktuell nur für folgende Versionen
- Oracle 12.1.0.2 mit Extended Support
- Oracle 19c
- Oracle 21c
Behobene Fehler in der Oracle Datenbank
- CVE-2020-35169 Base Score 9.1 trifft SSL für SQLNET (TCPS) und alle Oracle Datenbank Versionen
- CVE-2022-21510 Base Score 8.8 betrifft Locale Connects aber nur für non-supportet Oracle Datenbank Versionen
- CVE-2022-21511 Base Score 7.2 setzt das Objekt Privileg "EXECUTE ON DBMS_IR.EXECUTESQLSCRIPT" (zb: SYSBACKUP) und gehört zum Recovery Advisor, es sind aber keine supporteten Oracle Versionen betroffen.
- CVE-2022-21565 Base Score 6.5 in JavaVM, wenn das System Privileg "CREATE PROCEDURE" vergeben wurde, alle Oracle Versionen
- CVE-2022-24729 Base Score 5.7 in APEX (CKEditor) für alle Oracle Versionen
- CVE-2021-41184 Base Score 5.4 in APEX (jQueryUI) alle Versionen vor Oracle 22.1.1
- CVE-2022-0839 Base Score 5.0 in SQLcl beim lokalen Connect in Oracle 19c
- CVE-2021-45943 Base Score 4.3 in Spatial and Graph (GDAL) für alle Sessions in 19c und 21c
- CVE-2022-21432 Base Score 2.7 bei der Nutzung der DBA Rolle in allen Orale Versionen
Empfehlungen zum Einspielen des Patches
Sofern man TCPS nutzt, sollte man den CPU umgehen einspielen. Auch wenn man JavaVM aktiv nutzt, empfehlen wir ein rasches einspielen des Patches. Das gleiche gilt für APEX Nutzer.
Wenn man diese Funktionalitäten nicht einsetzt, kann man sich das einspielen des Patches ersparen.
Referenzen
- Oracle Critical Patch Update Advisory - July 2022