Oracle Critical Patch Update für Juli 2020 verfügbar

18.7.2020 -  Pünktlich hat Oracle den CPU Juli 2020 freigegeben.

Der Datenbank CPU behebt - neben den knapp 20 angeführten - in Summe über 50 Sicherheitslücken für Datenbanken von Oracle 11.2.0.4, 12.1.0.2 (beide nur mit Extended Support), 12.2.0.1, 18c und 19c ab. Einige der Lücken befinden sich im Spatial Umfeld (Studio, MapViewer, GeoRaster), das seit einiger Zeit für alle Datenbank Editionen gratis zur Verfügung steht. Wenn man sich die Risk Matrix genauer ansieht, so gibt es 3 Lücken mit einem Base Score von über 7 (von 10). Diese sind in folgenden Komponenten zu finden:

  • CVE-2016-1000031 MapViewer (Apache Commons FileUpload) mit einem Base Score von 8.8
  • CVE-2020-2968 Java VM mit einem Base Score von 8.0
  • CVE-2016-9843 Core RDBMS (zlib) mit einem Base Score von 7.2, allerdings ist hier nur Oracle 18c betroffen.

Relevant - aber mit einem Basis Score von 6.6 nicht ganz so kritisch - ist noch eine Lücke im Data Pump, wenn man zusätzlich DBA Berechtigungen hat. Viele der Lücken wurden auch in APEX behoben, allerdings weisen diese jeweils nur einen Score von 5.4 auf.

Empfehlungen

Wenn man die Java VM Option in der Datenbank installiert hat oder Oracle 18c einsetzt, sollte man den CPU unverzüglich einspielen. Gleiches gilt für die Nutzer von Spatial im Zusammenhang mit dem MapViewer und/oder GeoRaster.

Weiterführende Links

Der Ausgangspunkt für die Bewertung der Lücken ist wie immer bei Oracle zu finden:

Den Überblick über die Security-Alerts finden Sie bei Oracle hier:

Hilfreich ist auch folgender Ausgangspunkt:

OpenVMS

Nachdem for OpenVMS nur die Release 11.2.0.4 verfügbar ist, ist der CPU wie bisher ohne Extended Support verfügbar. Im Dokument "Oracle Software Techical Support Policies", Stand 4. Jänner 2019 findet sich im Kapitel Lifetime Support die Anmerkung, dass der Extended Support für 11.2.0.4 auf OpenVMS bis Dezember 2020 weiterhin kostenlos zur Verfügung steht.

Für Oracle 11.2.0.4 auf OpenVMS steht das aktuelle Patch Update unter "Patch 31103343: DATABASE PATCH SET UPDATE 11.2.0.4.200714 (Patch)" zur Verfügung.