Oracle Critical Patch Update für Oktober 2019 verfügbar
18.10.2019 - Oracle hat das Quartals Critical Patch Update für Oktober 2019 herausgebracht.
Wieder einmal ist es soweit - Oracle Patchday. Wir haben uns für Siedie Datenbank Patches genauer angesehen.
Wie wichtig ist es den Patch einzuspielen?
Auch dieses mal wird eine Reihe von Security Lücken behoben. Für die Datenbank sind das:
- CVE-2019-2956,
- CVE-2019-2913,
- CVE-2019-2939,
- CVE-2018-2875,
- CVE-2019-2734,
- CVE-2018-11784,
- CVE-2019-2954,
- CVE-2019-2955,
- CVE-2019-2940 und
- CVE-2019-2909.
Die Beschreibungen und Risikoabschätzungen zu den CVEs finden Sie hier. Da der Base-Score - mit Ausnahme eine JVM Lücke, die mit 6.8 bewertet wird - unter 6 liegt, muss man die Security Patches nicht dringend einspielen. Trotzdem gilt die Empfehlung seitens Oracle diese zügig auszurollen, wobei nicht jede Lücke in allen Oracle Releases enthalten ist bzw. nur mit Optionen wie OJVM auftritt.
Patches gibt es für
- Oracle 19c
- Oracle 18c
- Oracle 12c Rel 2 - 12.2.0.1
- Oracle 12c Rel 1 - 12.1.0.2
- Oracle 11.2.0.4 - nur für Extended Support Kunden
Der Ausgangspunkt für die Bewertung der Lücken ist wie immer bei Oracle zu finden:
Den Überblick über die Security-Alerts finden Sie bei Oracle hier:
Hilfreich ist auch folgender Ausgangspunkt:
Grundsätzlich gibt es die Security Patches für folgende Releases:
- Oracle 11.2.0.4 - nur mit Extended Support
- Oracle 12.1.0.2 - Vorsicht, voraussichtlich der letzten CPU
- Oracle 12.2.0.1
- Oracle 18c
- Oracle 19c
OpenVMS
Nachdem for OpenVMS nur die Release 11.2.0.4 verfügbar ist, ist der CPU wie bisher ohne Extended Support verfügbar. Im Dokument "Oracle Software Techical Support Policies", Stand 4. Jänner 2019 findet sich im Kapitel Lifetime Support die Anmerkung, dass der Extended Support für 11.2.0.4 auf OpenVMS bis Dezember 2020 weiterhin kostenlos zur Verfügung steht.
Für Oracle 11.2.0.4 auf OpenVMS steht das aktuelle Patch Update unter "Patch 29913194: DATABASE PATCH SET UPDATE 11.2.0.4.191015 (Patch)" zur Verfügung.