Oracle Critical Patch Update – Juli 2021
27 neue Sicherheitspatche für Oracle Datenbank Produkte
Am 20.07.2021 hat Oracle die Revision 3 des Oracle Critical Patch Update Juli 2021 für Oracle Datenbank Produkte veröffentlicht. Der neueste CPU Patch beinhaltet insgesamt 27 neue Sicherheitspatche für die Oracle Datenbank-Produkte und zusätzliche Patches von Drittanbietern. Diese neuen Sicherheitspatche sind wie folgt aufgeteilt:
| Betroffene Oracle Produkte | Anzahl Oracle Sicherheitspatche |
| Oracle Database Server | 16 |
| Oracle Big Data Graph | 2 |
| Oracle Essbase | 9 |
Oracle Datenbankserver
Das Oracle CPU Juli 2021 Patch enthält viele Sicherheitspatche. Darunter gibt es auch eine kritische Sicherheitslücke die dem Angreifer ermöglicht sich über das Netzwerk an der Datenbank ohne Authentifizierung anzumelden.
Wir haben für Sie die wichtigsten Sicherheitslücke des Oracle Datenbankservers und die betroffenen Versionen aufgelistet:
| CVE# | Komponente | betroffene Version | Anzahl | Remote Angriff | ||
| CVE-2021-2351 | Advanced Networking Option | 12.1.0.2, 12.2.0.1, 19c | 1 | Ja | ||
| CVE-2021-2328 | Oracle Text | 12.1.0.2, 12.2.0.1, 19c | 1 | – | ||
| CVE-2021-2329 CVE-2021-2337 CVE-2021-2333 | Oracle XML DB | 12.1.0.2, 12.2.0.1, 19c | 3 | – | ||
| CVE-2020-27193 | Oracle APEX (CKEditor) | bis 21.1.0.00.01 | 1 | – | ||
| CVE-2020-26870 | Oracle APEX Builder (DOMPurity) | bis 21.1.0.00.01 | 1 | – | ||
| CVE-2021-2460 | Oracle APEX (Express Data Reporter) | bis 21.1.0.00.04 | 1 | – | ||
| CVE-2019-17545 | Oracle Spatial and Graph (GDAL) | 12.2.0.1, 19c | 1 | – | ||
| CVE-2021-2330 | Core RDBMS | 19c | 1 | – | ||
| CVE-2020-7760 | Enterprise Manager Express User Interface (CodeMirror) | 19c | 1 | – | ||
| CVE-2021-2438 | Java VM | 12.1.0.2, 12.2.0.1, 19c | 1 | – | ||
| CVE-2021-2334 CVE-2021-2335 CVE-2021-2336 | Oracle Database Enterprise Edition Data Redaction | 12.1.0.2, 12.2.0.1, 19c | 3 | – | ||
| CVE-2021-2326 | Database Vault | 12.2.0.1, 19c | 1 | – | ||
Das Oracle Critical Patch Update für Juli 2021 bringt eine Reihe von Änderungen im Bereich native Network Encryption mit sich. Vor allem die Schwachstelle CVE-2021-2351 wurde damit behoben, in den die Verwendung schwächerer Verschlüsselungsalgorithmen verhindert werden.
Weiterhin ermöglichte diese Schwachstelle eine nicht autorisierte Person mit Netzwerkzugriff über das Protokoll Oracle Net, erweiterte Netzwerkoptionen zu kompromittieren. War der Angreifer erfolgreich, können weiter erhebliche Auswirkungen auf zusätzliche Anwendungen oder Produkte erfolgen.
Eine vollständige Auflistung aller verfügbaren CVEs finden Sie hier.
Was können Sie tun?
- Prüfen Sie Ihre Datenbank Version
- Installieren Sie das neueste Update
- Planen Sie Quartalsweise Updates ein
Weitere Tipps über den Umgang mit den Oracle Critical Patch Updates erhalten Sie in unserem Artikel Oracle Critical Patch Update.
Die nächste Critical Patch Update Schedule sind:
- 19 Oktober 2021
- 18 Januar 2022
- 19 April 2022
- 19 Juli 2022
Unsere Empfehlungen
Als Oracle Datenbankexperten empfehlen wir dringend allen Oracle Datenbank-Anwender, die Datenbank zeitnah auf den neuesten Stand zu bringen.
Auch in der Pandemie-Zeit, in der Unternehmen ihre Mitarbeiter in Home-Office gesetzt haben, sind die Anzahl von potenziellen Angriffe deutlich gestiegen. Laut Oracle-Berichte versuchen Angreifer, die Schwachstellen von bereits veröffentlichen Patche ausnutzen, wenn die Zielgruppen die Oracle Produkte nicht aktiv aktualisieren.
Kunden und Datenbank-Anwender, die die Oracle Datenbank 11g als produktives System noch im Einsatz haben, bekommen seit Dezember 2020 kein Update mehr. Die Oracle Datenbank 12c wird bis zu Dezember 2021 nicht mehr supported.
Eine Möglichkeit wäre für die Zielkunden (11g und 12c), eine Migration der bisherigen Datenbank-Version auf die Oracle Datenbank 19c mit Long Term Support. Damit können Sie nicht nur von der Multitenant-Architektur profitieren sondern auch können Sie je nach Bedarf ihre bestehenden Oracle Datenbanken in der Oracle Cloud umziehen.
Wir schätzen ihre Infrastruktur und sorgen für die genaue Lösung, die zu Ihnen passt! Unsere Experten bereiten Sie jederzeit und helfen Sie dabei, die richtige Strategie für das gesunde Lebenzyklus ihrer Datenbank mit der Oracle Datenbank.
Wir informieren Sie kontinuierlich über die neuesten Oracle Critical Patch Updates für ihre Oracle Datenbank-Produkte. Möchten Sie mehr über das Thema Oracle Sicherheitspatches wissen? – Dann sprechen Sie uns unverbindlich an!
