Oracle Critical Patch Update

Am Dienstag, den 20.10.2020, hat Oracle das aktuelle Sicherheitsupdate für dieses Quartal veröffentlicht.

Dieses Critical Patch Update adressiert 403 Sicherheitslücken über zahlreiche Produkte und Versionen. Betroffen sind unter anderem die Datenbank inkl. APEX, Oracle Rest Data Services (ORDS), Fusion Middleware, MySQL und der Enterprise Manager. 234 der geschlossenen Lücken stammen aus Komponenten von Drittherstellern, hier wurden 113 Lücken als „High“ oder „Critical“ eingestuft.

Innerhalb der Datenbank sind 30 Lücken geschlossen worden. Davon sind vier auch remote ohne Authentifizierung ausnutzbar, u.a. in APEX und ORDS. Die höchsten Bewertungen haben je eine Lücke im Oracle Net Protocol und eine im Scheduler, jeweils mit einem Score von 8,8. Betroffen davon sind die Versionen 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c und 19c. Apex ist betroffen in allen Versionen vor 20.2.

Eine weitere Lücke in Oracle Text betrifft ebenfalls das Oracle NetProtocol. Es ist remote ohne Authentifizierung ausnutzbar und wurde mit 8,1 bewertet, auch hier sind alle Versionen von 11.2.0.4 bis 19c betroffen.

Innerhalb der Fusion Middleware, wozu auch der Weblogic Server gehört, werden 46 Lücken geschlossen, davon sind 36 von entfernten Rechnern ohne Authentifizierung auszunutzen. Der Höchstwert liegt hier bei 9,8. 18 Lücken sind mit diesem Wert eingestuft worden, drei davon betreffen den WLS Core und einer die WLS Console.

Auch im Enterprise Manager wurden elf Lücken geschlossen, von denen zehn auf entfernten Rechnern ohne Authentifizierung auszunutzen sind. Zwei der Lücken sind mit einem Wert von 9,8 bewertet worden. Die Enterprise Manager Version 13.4.0.0 bzw. 13.4.1.1 ist dabei von vier Lücken betroffen, die anderen Lücken betreffen ausschließlich ältere Versionen.

In Java SE wurden acht Lücken geschlossen, alle sind ohne Authentifizierung auszunutzen. In MySQL gibt es 54 geschlossene Lücken, vier davon sind ohne Authentifizierung remote ausnutzbar, die höchste Einstufung ist dabei 9.8 und betrifft alle Versionen vor und inkl. 8.0.21.

Aufgrund des Gefährdungspotenzials empfehlen wir, den aktuellen Sicherheitspatch einzuspielen, wenn die eingesetzte Produktversion betroffen ist. Voraussetzung ist die Freigabe dieses Patches durch den jeweiligen Applikationshersteller. Insbesondere Systeme, die von außen zugänglich sind, typischerweise Apache/WebLogic Server, sollten auch immer auf dem aktuellen Stand gehalten werden. Uns sind Fälle bekannt, bei denen bekannte Lücken ausgenutzt wurden und mit den kompromittierten Systemen Crypto Mining betrieben wurde.

Für die Robotron-Energiemarkt-Plattform stehen Einspielung und Test des Oktober 2020 Updates noch aus. Derzeit ist das Update vom Januar 2020 freigegeben.

Das nächste Security Update ist für den 19. Januar 2021 geplant. Weitere Informationen erhalten Sie auch in der Veröffentlichung von Oracle.

Gerne unterstützen wir Sie bei der Planung und Durchführung der Updates!