Oracle Critical Patch Update für Jänner 2020 verfügbar

16.1.2020 -  In der Nacht vom 14. auf den 15. Jänner hat Oracle den CPU Jänner 2020 freigegeben. Auch dieses Mal sind einige für Datenbanken relevante Security Patches dabei.

Es gibt zwei Patches für die Datenbank und einen für die JVM in der Datenbank, die allesamt einen Score von über 7 haben und damit relativ hoch eingestuft sind. Daher empfehlen wir, den Jan CPU 2020 einzuspielen. Die Patches gibt es für

  • 12.2.0.1/12.2.0.2,
  • 18c und
  • 19c
  • zwei sogar für 11.2.0.4.

Details zu den Security Leaks

  • CVE-2020-2510 betrifft den Datenbank Kern in den Versionen 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c und 19c. Die Vulnerability wird als schwierig umzusetzen beschrieben, erlaubt aber einem Angreifer ohne Authentifizierung mit Netzwerk-Zugang eventuell die Datenbank zu übernehmen. Es ist allerdings der (unbeteiligte) Zugriff von authorisierten Usern notwendig - offensichtlich können einem arglosen User gefährliche Aktionen untergeschoben werden.
  • CVE-2020-2511 betrifft ebenfalls den Datenbank Kern, dieses Mal in den Versionen 12.1.0.2, 12.2.0.1, 18c und 19c. Die Vulnerability erlaubt es, Angreifern mittels einer Session in der Datenbank DOS-Attacken gegen die Datenbank bzw andere Produkte auszuführen. Der Exploit wird als leicht durchführbar eingestuft.
  • CVE-2020-2518 betrifft die Java VM in der Datenbank. Betroffene Versionen sind 11.2.0.4, 12.1.0.1, 12.2.0.1, 18c und 19c.

Eigenen Angaben zufolge hat Oracle insgesamt 334 Updates veröffentlicht.

Weitere Links:

Der Ausgangspunkt für die Bewertung der Lücken ist wie immer bei Oracle zu finden:

Den Überblick über die Security-Alerts finden Sie bei Oracle hier:

Hilfreich ist auch folgender Ausgangspunkt:

OpenVMS

Nachdem for OpenVMS nur die Release 11.2.0.4 verfügbar ist, ist der CPU wie bisher ohne Extended Support verfügbar. Im Dokument "Oracle Software Techical Support Policies", Stand 4. Jänner 2019 findet sich im Kapitel Lifetime Support die Anmerkung, dass der Extended Support für 11.2.0.4 auf OpenVMS bis Dezember 2020 weiterhin kostenlos zur Verfügung steht.

Für Oracle 11.2.0.4 auf OpenVMS steht das aktuelle Patch Update unter "Patch 30298532: DATABASE PATCH SET UPDATE 11.2.0.4.200114 (Patch)" zur Verfügung.

Intel behebt Zombieload nur teilweise

12.11.2019 - Intel hat heute in Summe 77 teils kritische Lücken behoben, darunter auch neu, bisher unbekannte Side-Channel-Attacken.

Leider ist es Intel dabei nicht gelungen, alle aktuellen Lücken und Varianten abzudecken. Speziell eine neue Variante von ZombieLoad kann immer noch ausgenützt werden.

Es wird jetzt einige Zeit dauern, bis die BIOS und Betriebsystemhersteller die Patches in Ihre Produkte integrieren. Im Gegensatz zu den Patches gegen Meltdown und Spectre soll die Performance nur um wenige % - Intel spricht von 4% - schlechter werden.

Weitere Informationen finden Sie unter Anderem hier:

Oracle Critical Patch Update für Oktober 2019 verfügbar

18.10.2019 -  Oracle hat das Quartals Critical Patch Update für Oktober 2019 herausgebracht.

Wieder einmal ist es soweit - Oracle Patchday. Wir haben uns für Siedie Datenbank Patches genauer angesehen.

Wie wichtig ist es den Patch einzuspielen?

Auch dieses mal wird eine Reihe von Security Lücken behoben. Für die Datenbank sind das:

  • CVE-2019-2956,
  • CVE-2019-2913,
  • CVE-2019-2939,
  • CVE-2018-2875,
  • CVE-2019-2734,
  • CVE-2018-11784,
  • CVE-2019-2954,
  • CVE-2019-2955,
  • CVE-2019-2940 und
  • CVE-2019-2909.

Die Beschreibungen und Risikoabschätzungen zu den CVEs finden Sie hier. Da der Base-Score - mit Ausnahme eine JVM Lücke, die mit 6.8 bewertet wird - unter 6 liegt, muss man die Security Patches nicht dringend einspielen. Trotzdem gilt die Empfehlung seitens Oracle diese zügig auszurollen, wobei nicht jede Lücke in allen Oracle Releases enthalten ist bzw. nur mit Optionen wie OJVM auftritt.

Patches gibt es für

  • Oracle 19c
  • Oracle 18c
  • Oracle 12c Rel 2 - 12.2.0.1
  • Oracle 12c Rel 1 - 12.1.0.2
  • Oracle 11.2.0.4 - nur für Extended Support Kunden

Der Ausgangspunkt für die Bewertung der Lücken ist wie immer bei Oracle zu finden:

Den Überblick über die Security-Alerts finden Sie bei Oracle hier:

Hilfreich ist auch folgender Ausgangspunkt:

Grundsätzlich gibt es die Security Patches für folgende Releases:

  • Oracle 11.2.0.4 - nur mit Extended Support
  • Oracle 12.1.0.2 - Vorsicht, voraussichtlich der letzten CPU
  • Oracle 12.2.0.1
  • Oracle 18c
  • Oracle 19c

OpenVMS

Nachdem for OpenVMS nur die Release 11.2.0.4 verfügbar ist, ist der CPU wie bisher ohne Extended Support verfügbar. Im Dokument "Oracle Software Techical Support Policies", Stand 4. Jänner 2019 findet sich im Kapitel Lifetime Support die Anmerkung, dass der Extended Support für 11.2.0.4 auf OpenVMS bis Dezember 2020 weiterhin kostenlos zur Verfügung steht.

Für Oracle 11.2.0.4 auf OpenVMS steht das aktuelle Patch Update unter "Patch 29913194: DATABASE PATCH SET UPDATE 11.2.0.4.191015 (Patch)" zur Verfügung.

DSGVO - erste Strafen im Millionenbereich

1.10.2019 - Es hat länger gedauert, aber langsam aber sicher gibt es die ersten "nennenswerten" Strafen auf Grund der DSGVO.

Die DSGVO, die ja seit Mai 2018 in Kraft ist, bedeutet nicht nur für Firmen Handlungsbedarf, auch die Behörden mussten sich erst damit beschäftigen. Bisher gab es daher auch erst relativ bescheidene Strafen - durchaus im Bereich von mehreren 100.000 Euro - aber so richtig massiv waren diese definitiv nicht.

Fall Marriott

Das hat sich jetzt mit der ersten Strafe von über 110 Millionen Euro geändert. Die britische Datenschutzaufsicht ICO (Information Commissioner´s Office) will die Hotelkette Marriott werden einem Verstoß mit rund 110 Millionen Euro bestrafen. Es sind auf  Grund eines Ende 2018 entdeckten Hacks über 339 Millionen Kunden kompromittiert worden. Da dies in der erst 2016 gekauften Tochterfirma Starwood erfolgt ist, versucht Marriott es mit einem Einspruch - wir können gespannt sein.

Fall British Airways

Kurz davon hat das britische ICO ein Bußgeld in der Höhe von ca. 200 Millionen Euro für einen Cyberangriff auf British Airways verhängt. 2018 haben Hacker Kreditkartendaten von über 500.000 Kunden abgegriffen. Auch British Airways will dagegen Einspruch erheben.