Oracle Critical Patch Update Juli 2021
Oracle Critical Patch Update
Am Dienstag, den 20.07.2021, hat Oracle das aktuelle Sicherheitsupdate für dieses Quartal veröffentlicht.
Dieses Critical Patch Update adressiert 342 Sicherheitslücken über zahlreiche Produkte und Versionen. Betroffen sind unter anderem die Datenbank, Fusion Middleware, MySQL und der Enterprise Manager.
203 der geschlossenen Lücken stammen aus Komponenten von Drittherstellern, hier wurden 149 Lücken als „High“ oder „Critical“ eingestuft.
Innerhalb der Datenbank sind 16 Lücken geschlossen worden. Davon sind 4 Lücken, eine davon das Oracle Net Protocol betreffend, auch remote ohne Authentifizierung ausnutzbar. Das betrifft alle Versionen von 12.1 bis 19c. Die reinen Client-Installationen sind von den Lücken nicht betroffen.
Die höchsten Bewertung im Datenbankumfeld hat eine Lücke in den Verschlüsselungsalgorithmen, die mit einem Score von 8,3 bewertet wurde. Betroffen davon sind die Versionen 12.1.0.2, 12.2.0.1, 18c und 19c. Im Prinzip können hier nun schwächere und damit angreifbarere Verschlüsselungsalgorithmen ausgeschlossen werden.
Innerhalb der Fusion Middleware, wozu auch der Weblogic Server gehört, werden 48 Lücken geschlossen, davon sind 35 von entfernten Rechnern ohne Authentifizierung auszunutzen. Der Höchstwert liegt hier bei 9,9. 2 Lücken sind mit diesem Wert eingestuft worden, 7 weitere mit einem Wert von 9,8. Zwei davon betrefft den WLS Core.
Auch im Enterprise Manager wurden 8 Lücken geschlossen, alle sind von entfernten Rechnern ohne Authentifizierung auszunutzen. Eine der Lücken ist mit einem Wert von 9,8 bewertet worden. Betroffen ist der Enterprise Manager in der Version 13.4.0.0.
In Java SE wurden 6 Schwachstellen geschlossen, von denen 5 ohne Authentifizierung auszunutzen sind.
In MySQL gibt es 41 geschlossene Lücken, 10 davon sind ohne Authentifizierung remote ausnutzbar, die höchste Einstufung ist hier 8.8 und betrifft den MySQL Cluster in allen Versionen bis einschließlich 8.0.25.
Aufgrund des Gefährdungspotenzials empfehlen wir, den aktuellen Sicherheitspatch einzuspielen, wenn die eingesetzte Produktversion betroffen ist. Voraussetzung ist die Freigabe dieses Patches durch den jeweiligen Applikationshersteller.
Insbesondere Systeme, die von außen zugänglich sind, typischerweise Apache/WebLogic Server, sollten auch immer auf dem aktuellen Stand gehalten werden. Uns sind Fälle bekannt, bei denen bekannte Lücken ausgenutzt wurden und mit den kompromittierten Systemen Crypto Mining betrieben wurde.
Für die Robotron-Energiemarkt-Plattform stehen Einspielung und Test des Juli 2021 Updates noch aus. Für ODA Kunden wird dieses Oracle Critical Patch Update mit der Version 19.12 bereitgestellt werden. Sollten Sie aus dringenden Gründen nicht auf das neue ODA Release warten können und ein vorgezogenes "Out-of-Cycle Database Patching" wünschen, dann wenden Sie sich bitte vertrauensvoll an uns.
Das nächste Security Update ist für den 19. Oktober 2021 geplant.
Weitere Informationen erhalten Sie auch in der Veröffentlichung von Oracle.
Gerne unterstützen wir Sie bei der Planung und Durchführung der Updates!
Kommentare
Keine Kommentare