Oracle Critical Patch Update für Jänner 2019 verfügbar
15.2.2019 - Oracle hat das Quartals Critical Patch Update für Jänner 2019 herausgebracht.
Pünklich am 16. Jänner 2019 hat Oracle das CPU für Jan 2019 freigegeben. Auch dieses Mal sind viele für die Datenbank relevante Patches dabei. Im Besonderen wollen wir auf folgende Security Leaks hinweisen:
- CVE-2019-2444 ... Score 8.2, benötigt aber ein Login am Datenbank Server. Solange am Datenbank Server nur Administratoren Zugriff haben, scätzen wir das als nicht so kritisch ein. Laufen Applikationen direkt am Datenbank Server oder haben Endbenutzer Logins am Datenbank Server, gehört der Patch umgehend eingespielt.
- CVE-2019-2406 ... Score 7.2, ist über das Netzwerk ausnutzbar, setzt aber das Privileg „EXECUTE CATALOG ROLE“ voraus, das eigentlich nur DBA Benutzer haben sollten (SYS, SYSTEM,...). Sofern Applikationsbenutzern dieses Recht nicht eingeräumt bekommen haben, ist die Angriffsfläche nicht sehr groß. Trotzdem empfehlen wir, das Einspielen des Patches zu planen.
Wir empfehlen, so bald wie möglich mit dem Einspielen der Patches zu beginnen.
Der Ausgangspunkt für die Bewertung der Lücken ist wie immer bei Oracle zu finden:
Den Überblick über die Security-Alerts finden Sie bei Oracle hier:
Grundsätzlich gibt es die Security Patches für folgende Releases:
- Oracle Datenbank 11.2.0.4 - nur mehr mit extended Support - Ausnahme für OpenVMS
- Oracle Datenbank 12.1.0.2
- Oracle Datenbank 12.2.0.1
- Oracle Datenbank 18c
OpenVMS
Nachdem for OpenVMS nur die Release 11.2.0.4 verfügbar ist, ist der CPU wie bisher ohne Extended Support verfügbar. Im Dokument "Oracle Software Techical Support Policies", Stand 4. Jänner 2019 findet sich im Kapitel Lifetime Support die Anmerkung, dass der Extended Support für 11.2.0.4 auf OpenVMS bis Dezember 2020 weiterhin kostenlos zur Verfügung steht.
Für Oracle 11.2.0.4 auf OpenVMS steht das aktuelle Patch Update unter "Patch 28729262 - Database Patch Set Update 11.2.0.4.190115" zur Verfügung.