Oracle Critical Patch Update für April 2020 verfügbar

18.4.2020 -  Pünktlich hat Oracle den CPU April 2020 freigegeben.

Vor allem im Java Bereich sind einige kritische Lücken behoben worden.

Java in der Datenbank

Bisher war es so, dass bei der Nutzung von OJVM (Java in der Datenbank) immer zwei Patches eingespielt werden mussten: Der Datenbank (oder GI) CPU und der OJVM CPU. Beginnend mit dem Jan 2020 CPU hat Oracle folgende Änderung eingeführt:

  • Der jeweils letzte (nicht der aktuelle!!) OJVM CPU ist in den aktuellen Datenbank und GI CPUs inkludiert.
  • Es gibt immer einen aktuellen OJVM CPU, den man auch weiterhin zusätzlich installieren muss.

Das bedeutet konkret: Im aktuellen Datenbank April 2020 CPU sind ist der OJVM Jan 2020 CPU enthalten.

Behobene Security Leaks im JDK - OJVM

Dieser Security Patch bringt das JDK8 auf JDK8u251 und enthält folgende Security Fixes: CVE-2020-2803, CVE-2020-2805, CVE-2019-18197, CVE-2020-2781, CVE-2020-2830, CVE-2020-2800, CVE-2020-2754, CVE-2020-2755, CVE-2020-2773, CVE-2020-2756, CVE-2020-2757.

Verfügbare Datenbank Patches

Für die folgenden Datenbank Releases sind Patches verfügbar:

  • Oracle Datenbank 11.2.0.4 - nur für Kunden mit Extended Support
  • Oracle Datenbank 12.1.0.2 - nur für Kunden mit Extended Support
  • Oracle Datenbank 12.2.0.1 - hier hat Oracle einen Limited Error Correction Timeframe bis zum 31. März 2022 eingeführt!
  • Oracle Datenbank 18c - hier wird es voraussichtlich bis Juni 2021 Patches und CPUs geben
  • Oracle Datenbank 19c - für die "Long Term Stable" Oracle 12c Release wird es zumindest bis März 2023 Patches geben (und danach noch mindestens 3 Jahre lang extended Support)

Neu ist der Limited Error Correction Timeframe, den Oracle für die Version 12.2.0.1 anbietet. Aktuell wird bis zum 31. März 2022 folgendes für diese Datenbank Release behoben:

  • Severity 1 BUGs (inklusive Backports) ... das sind Bugs die zu Database down oder Datenkorruption führen können.
  • Security CPUs
  • Es gilt nur für folgende Platformen: Linux x86-64, Solaris x86-64, Solaris SPARC, IBM AIX on Power Systems, IBM Linux on System Z (ZLinux), HP-UX Itanium und Microsoft Windows x64

Sonstige BUGs werden nicht mehr behoben.

Empfehlungen bezüglich einspielen des CPUs

Wer JAVA (OJVM) in der Datenbank nutzt oder Oracle 12.1.0.2 mit Multimedia betreibt sollte den April 2020 CPU unbedingt umgehend einspielen. Gleiches gilt für alle, die HTTPS in/aus der Datenbank (XDB/WLM Funktionalität) bzw. APEX nutzen (oder auch nur installiert haben).

Für wer davon nicht betroffen ist, sollte den April 2020 CPU immer dann einspielen, wenn er die Möglichkeit dazu hat (geplante Downtimes, neue Datenbanken, etc).

Weiterführende Links

Der Ausgangspunkt für die Bewertung der Lücken ist wie immer bei Oracle zu finden:

Den Überblick über die Security-Alerts finden Sie bei Oracle hier:

Hilfreich ist auch folgender Ausgangspunkt:

OpenVMS

Nachdem for OpenVMS nur die Release 11.2.0.4 verfügbar ist, ist der CPU wie bisher ohne Extended Support verfügbar. Im Dokument "Oracle Software Techical Support Policies", Stand 4. Jänner 2019 findet sich im Kapitel Lifetime Support die Anmerkung, dass der Extended Support für 11.2.0.4 auf OpenVMS bis Dezember 2020 weiterhin kostenlos zur Verfügung steht.

Für Oracle 11.2.0.4 auf OpenVMS steht das aktuelle Patch Update unter "Patch 30670774: DATABASE PATCH SET UPDATE 11.2.0.4.200414 (Patch)" zur Verfügung.