Oracle Critical Patch Update Januar 2021
Oracle Critical Patch Update
Am Dienstag, den 19.01.2021, hat Oracle das aktuelle Sicherheitsupdate für dieses Quartal veröffentlicht.
Dieses Critical Patch Update adressiert 329 Sicherheitslücken über zahlreiche Produkte und Versionen. Betroffen sind unter anderem die Datenbank, Fusion Middleware, MySQL und der Enterprise Manager.
189 der geschlossenen Lücken stammen aus Komponenten von Drittherstellern, hier wurden 113 Lücken als „High“ oder „Critical“ eingestuft.
Innerhalb der Datenbank sind 8 Lücken geschlossen worden. Davon ist eine, das Oracle Net Protocol betreffende Schwachstelle, auch remote ohne Authentifizierung ausnutzbar. Das betrifft ausschließlich die Versionen 18c und 19c auf Windows Plattformen.
Die höchsten Bewertung im Datenbankumfeld hat eine Lücke im Oracle Scheduler, die mit einem Score von 8,8 bewertet wurde. Betroffen davon sind die Versionen 12.1.0.2, 12.2.0.1, 18c und 19c.
Innerhalb der Fusion Middleware, wozu auch der Weblogic Server gehört, werden 60 Lücken geschlossen, davon sind 47 von entfernten Rechnern ohne Authentifizierung auszunutzen. Der Höchstwert liegt hier bei 9,8. 15 Lücken sind mit diesem Wert eingestuft worden, drei davon betreffen den WLS Core und einer die Web Services.
Auch im Enterprise Manager wurden 8 Lücken geschlossen, die alle von entfernten Rechnern ohne Authentifizierung auszunutzen sind. Drei der Lücken sind mit einem Wert von 9,8 bewertet worden. Die Enterprise Manager Version 13.4.0.0 bzw. 13.4.1.1 ist dabei von zwei Lücken betroffen, die anderen Lücken betreffen ausschließlich ältere Versionen.
In Java SE wurde eine Schwachstelle geschlossen, die ohne Authentifizierung auszunutzen ist.
In MySQL gibt es 43 geschlossene Lücken, fünf davon sind ohne Authentifizierung remote ausnutzbar, die höchste Einstufung ist dabei 7.5 und betrifft alle Versionen vor und inkl. 8.0.22.
Aufgrund des Gefährdungspotenzials empfehlen wir, den aktuellen Sicherheitspatch einzuspielen, wenn die eingesetzte Produktversion betroffen ist. Voraussetzung ist die Freigabe dieses Patches durch den jeweiligen Applikationshersteller.
Insbesondere Systeme, die von außen zugänglich sind, typischerweise Apache/WebLogic Server, sollten auch immer auf dem aktuellen Stand gehalten werden. Uns sind Fälle bekannt, bei denen bekannte Lücken ausgenutzt wurden und mit den kompromittierten Systemen Crypto Mining betrieben wurde.
Für die Robotron-Energiemarkt-Plattform stehen Einspielung und Test des Januar 2021 Updates noch aus.
Das nächste Security Update ist für den 20. April 2021 geplant.
Weitere Informationen erhalten Sie auch in der Veröffentlichung von Oracle.
Gerne unterstützen wir Sie bei der Planung und Durchführung der Updates!
Kommentare
Keine Kommentare