Security – Critical patch update Oracle April 2021

Op 20 april 2021 heeft Oracle zijn 3 maandelijkse Critical Patch Update (CPU) uitgebracht. Hiermee maakt Oracle security patches beschikbaar voor haar producten. Dit is nodig om op een gestructureerde manier de kwetsbaarheden, die in de Oracle software gevonden worden, op te lossen.  

Critical Patch update Oracle database server 

In de CPU van april zijn 10 kwetsbaarheden opgelost in de versies Oracle 12.1 tot en met Oracle 20. De hoogste gemelde CVSS score is 7.5, van de 10 kwetsbaarheden zijn 4 remote en zonder authenticatie te misbruiken. Die top 4 kwetsbaarheden zitten in minder frequent gebruikte componenten. Gegeven de karakteristiek van de kwetsbaarheden is er voor de database geen reden af te wijken van het al gedefinieerde patchbeleid. 

Critical Patch update Oracle Enterprise Manager en WebLogic server 

Het aantal kwetsbaarheden gerelateerd aan Enterprise Manager en WebLogic is groter en zo ook het risico. De Enterprise Manager bevat 9 nieuwe kwetsbaarheden waarvan 8 misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie. De hoogste CVSS score van 9.8. Het betreft hier de versies 12.20.0 tot en met 13.4.0.0. 

Fusion Middelware, waar WebLogic Server onder valt, bevat 45 nieuwe kwetsbaarheden waarvan er 36 misbruikt kunnen worden en zonder enige authenticatie misbruikt kunnen worden. Er zijn 7 kwetsbaarheden met een CVSS score 9.4 of hoger geclassificeerd. 
Gegeven de impact en aantal van de kwetsbaarheden is het advies Enterprise Manager en WebLogic Server zo snel mogelijk te patchen. 

Update Oracle MySQL 

In deze patch worden 49 nieuwe kwetsbaarheden voor de MySQL database opgelost. Tien van deze kwetsbaarheden kunnen misbruikt worden voor het verkrijgen van remote toegang zonder enige authenticatie. Waarvan er één met een CVSS score van 9.8. Gezien het grote aantal kwetsbaarheden wordt geadviseerd naar de laatste minor release te upgraden. 

Elk patch advies bevat nieuwe kwetsbaarheden die in de software zijn gevonden. Niet gepatchte software maakt het voor hackers extra makkelijk om data te stelen of te verminken. Reden genoeg om regelmatig te patchen. In een patchplan bepaal je o.a. hoe vaak per jaar er minimaal gepatcht wordt om te voorkomen dat het altijd een ad-hoc beslissing blijft. Advies nodig bij het opstellen van een patchplan? Neem gerust contact met ons op voor een vrijblijvend gesprek? 

De vier komende CPU’s staan gepland voor: 

  • 20 juli 2021  
  • 19 oktober 2021 
  • 18 januari 2022 
  • 19 april 2022  

Meer informatie over deze CPU is te vinden via pagina “Oracle Security Alerts” en op pagina “Documentation Map” staan verwijzingen naar waar en welke patch te downloaden.

Mocht je hulp nodig hebben of je hebt vragen n.a.v. dit artikel, laat het ons dan weten.

Oracle Security en patching

Scroll to Top