Oracle Critical Patch Update – April 2021

Sicherheitspatches sind Bugfixes und Sammlungen von Korrekturen und Features für Oracle Produkte. Die Oracle Sicherheitspatches werden immer quartalsweise veröffentlicht.

18 neue Sicherheitspatches für Oracle Datenbank Produkte

Am 20.04.2021 hat Oracle den Oracle CPU April 2021 Patch für Oracle Datenbank Produkte veröffentlicht. Dieser aktuelle CPU Patch beinhaltet insgesamt 18 neue Sicherheitspatches für die Oracle Produkte und zusätzliche Patches von Drittanbietern. Diese neue Sicherheitspatches sind wie folgt aufgeteilt:

Betroffene Oracle ProdukteAnzahl Oracle Sicherheitspatches
Oracle Database Server10
Oracle Global Lifecycle Management1
Oracle NoSQL Database4
Oracle REST Data Services1
Oracle Spatial Studio2

Oracle Datenbankserver

In vielen Fällen können diese Sicherheitslücken, ohne den Oracle CPU April 2021 Patch, durch einen Netzwerkzugriff ohne Authentifizierung ausgenutzt werden. Sollten Sie diese “Komponente” nicht in Ihrem Datenbankserver installiert haben, sind Sie von dieser Sicherheitslücke nicht betroffen.

Wir haben für Sie die wichtigsten Sicherheitslücken mit der Kritikalität “hoch” in nachfolgender Tabelle aufgelistet.

CVE#Komponentebetroffene VersionenVertraulichkeit
CVE-2020-17527Apache Tomcat Manager18c, 19choch
CVE-2019-3740Oracle Database Enterprise Edition12.1.0.2, 12.2.0.1,
18c, 19c
hoch
CVEs für Oracle Datenbankserver

Workload Manager (Apache Tomcat)

Diese Sicherheitslücke erlaubt es Angreifer ohne Authentifizierung, durch einen Netzwerkzugriff über das HTTP-Protokoll des Apache Tomcat Manager, Ihr System anzugreifen. Weiterhin ist es auch möglich, dass durch einen erfolgreichen Angriff zugänglichen Informationen zwischen Anforderungen verloren gehen.

CVE-2020-17527           
7.5 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N         
Supported versions that are affected are 18c and 19c.
Easily exploitable vulnerability allows unauthenticated attacker with
network access via HTTP to compromise the affected system. Successful
attacks of this vulnerability can result in unauthorized access to critical data or complete access to all the affected system's accessible data.
Affects:
o Workload Manager (Apache Tomcat) 18c, 19c

Oracle Database – Enterprise Edition

Während dem Erzeugen von DSA-Schlüsselpaaren, kann ein bösartiger Angreifer diese Sicherheitslücke ausnutzen, um die Schlüsselpaaren zu rekonstruieren. Somit kann auf die Oracle Datenbank über Oracle NET Service ohne Erlaubnis bösartig zugegriffen werden.

CVE-2019-3740
6.5 AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Supported versions that are affected are 12.1.0.2, 12.2.0.1, 18c and 19c. 
Easily exploitable vulnerability allows unauthenticated attacker with network access via Oracle Net to compromise the affected system.
Successful attacks require human interaction from a person other than 
the attacker. Successful attacks of this vulnerability can result in unauthorized access to critical data or complete access to all the affected system's accessible data.
Affects:
o Oracle Database - Enterprise Edition (Dell BSAFE Crypto-J)

Oracle Global Lifecycle Management

CVE#Komponentebetroffene VersionenVertraulichkeit
CVE-2019-3740Patch Installer
(Dell BSAFE Crypto-J)
12.2.0.1.22hoch
CVE für Oracle Global Lifecycle Management OPatch

Eine vollständige Auflistung aller verfügbaren CVEs finden Sie hier.

Unsere Tipps

Als Oracle Datenbankexperten empfehlen wir Ihnen immer, die aktuellen Oracle Sicherheitspatches frühzeitig einzuplanen und zeitnah nach deren Veröffentlichung einzuspielen. Weitere Tipps über den Umgang mit den Oracle Critical Patch Updates erhalten Sie in unserem Artikel Oracle Critical Patch Update.

Die vier nächsten Veröffentlichungstermine sind :

  • 20 Juli 2021
  • 19 Oktober 2021
  • 18 Januar 2022
  • 19 April 2022

Wir informieren Sie immer über die aktuellsten Oracle Critical Patch Updates für ihre Oracle Datenbank Produkte. Möchten Sie mehr über das Thema Oracle Sicherheitspatches wissen? – Dann sprechen Sie uns unverbindlich an!

    Kurze Anfrage

    Firmenname

    Vor- und Nachname

    Ihre E-Mail

    Bitte senden Sie mir den Artikel als pdf-Dokument zur späteren Sichtung an

    DSGVO-Pflichtfeld: Ich willige ein, dass bei der Kontaktaufnahme über dieses Internetformular, meine Angaben zwecks Bearbeitung der Anfrage sowie für den Fall, dass Anschlussfragen entstehen, gespeichert werden.