Oracle Critical Patch Update April 2021

Oracle Critical Patch Update

Am Dienstag, den 20.04.2021, hat Oracle das aktuelle Sicherheitsupdate für dieses Quartal veröffentlicht.

Dieses Critical Patch Update adressiert 390 Sicherheitslücken über zahlreiche Produkte und Versionen. Betroffen sind unter anderem die Datenbank, Fusion Middleware, MySQL und der Enterprise Manager. 211 der geschlossenen Lücken stammen aus Komponenten von Drittherstellern, hier wurden 141 Lücken als „High“ oder „Critical“ eingestuft.

Innerhalb der Datenbank sind 10 Lücken geschlossen worden. Davon sind 4 Lücken, eine davon das Oracle Net Protocol betreffend, auch remote ohne Authentifizierung ausnutzbar. Das betrifft alle Versionen von 12.1 bis 19c. Die reinen Client-Installationen sind von den Lücken nicht betroffen. Die höchsten Bewertung im Datenbankumfeld hat eine Lücke in den Verschlüsselungsalgorithmen, die mit einem Score von 7,5 bewertet wurde. Betroffen davon sind die Versionen 12.1.0.2, 12.2.0.1, 18c und 19c.

Innerhalb der Fusion Middleware, wozu auch der Weblogic Server gehört, werden 45 Lücken geschlossen, davon sind 36 von entfernten Rechnern ohne Authentifizierung auszunutzen. Der Höchstwert liegt hier bei 9,8. 6 Lücken sind mit diesem Wert eingestuft worden, eine davon betrifft den WLS Core.

Auch im Enterprise Manager wurden 8 Lücken geschlossen, bis auf eine sind alle von entfernten Rechnern ohne Authentifizierung auszunutzen. Eine der Lücken ist mit einem Wert von 9,8 bewertet worden. Betroffen ist der Enterprise Manager in der Version 13.4.0.0.

In Java SE wurden 4 Schwachstellen geschlossen, die alle ohne Authentifizierung auszunutzen sind.

In MySQL gibt es 49 geschlossene Lücken, 9 davon sind ohne Authentifizierung remote ausnutzbar, die höchste Einstufung ist ebenfalls 9.8 und betrifft den MySQL Enterprise Monitor in allen Version bis einschließlich 8.0.23.

Aufgrund des Gefährdungspotenzials empfehlen wir, den aktuellen Sicherheitspatch einzuspielen, wenn die eingesetzte Produktversion betroffen ist. Voraussetzung ist die Freigabe dieses Patches durch den jeweiligen Applikationshersteller.

Insbesondere Systeme, die von außen zugänglich sind, typischerweise Apache/WebLogic Server, sollten auch immer auf dem aktuellen Stand gehalten werden. Uns sind Fälle bekannt, bei denen bekannte Lücken ausgenutzt wurden und mit den kompromittierten Systemen Crypto Mining betrieben wurde.

Für die Robotron-Energiemarkt-Plattform stehen Einspielung und Test des April 2021 Updates noch aus.

Das nächste Security Update ist für den 20. Juli 2021 geplant.

Weitere Informationen erhalten Sie auch in der Veröffentlichung von Oracle.

Gerne unterstützen wir Sie bei der Planung und Durchführung der Updates!

Kommentare

Keine Kommentare

Kommentar schreiben

* Diese Felder sind erforderlich