Oracle Critical Patch Update für Oktober 2018 verfügbar
14.11.2018 - Oracle hat das Quartals Critical Patch Update für Oktober 2018 herausgebracht.
Für Oracle 11gR2 (11.2.0.4) ist dies das letzte Patchset ohne kostenpflichtigen Extended Support. Grundsätzlich gibt es die Security Patches für folgende Releases:
- Oracle Datenbank 11.2.0.4 - letzter Security Patch / letzter Patchset!
- Oracle Datenbank 12.1.0.2
- Oracle Datenbank 12.2.0.1
- Oracle Datenbank 18c
Wie auch schon im August gibt es Security Leaks, die man über das Netzwerk Remote ausnutzen kann, daher sollte man diesen Security Patch unbedingt einspielen! Im Speziellen sind das:
- CVE-2018-3259 betrifft wie schon im August die Java VM und hat einen Score von 9.8 (von 10) - also extrem gefährlich
- CVE-2018-3299 betrifft Oracle Text und hat einen Score von 8.2 (von 10) und ist ebenfalls über das Netzwerk ausnutzbar und somit extrem gefährlich
- CVE-2018-7489 betrifft das Rapid Home Provisioning von Oracle 18c (und somit für 11g und 12c nicht Relevant) und ist mit dem Score von 2.3 nicht ganz so schlimm
Wir empfehlen, so bald wie möglich mit dem Einspielen der Patches zu beginnen.
Der Ausgangspunkt für die Bewertung der Lücken ist wie immer bei Oracle zu finden:
Den Überblick über die Security-Alerts finden Sie bei Oracle hier:
OpenVMS
Für Oracle 11.2.0.4 auf OpenVMS steht das aktuelle Patch Update unter "Patch 28204707 - Database Patch Set Update 11.2.0.4.181016" zur Verfügung. Nachdem es für OpenVMS noch keine Nachfolgeversion gibt, wird es aller Wahrscheinlichkeit nach für nächstes Jahr weiterhin Gratis-Extended-Support geben. Die finale Bestätigung dafür ist aber noch ausständig.