Security – Critical patch update Oracle Januari 2022

Op 18 januari 2022 heeft Oracle de eerste Critical Patch Update (CPU) van 2022 uitgebracht. Op deze manier stelt Oracle security patches beschikbaar voor haar producten. Dit is noodzakelijk om op een gestructureerde manier de gevonden kwetsbaarheden in de Oracle software op te lossen. Deze release is bijzonder doordat het de eerste is na de golf aan publiciteit rondom het Log4J alert

Oracle database server

In de CPU van januari worden 4 kwetsbaarheden gemeld die in deze CPU voor de database worden opgelost. De geïdentificeerde versies variëren van Oracle 12.1 tot en met Oracle 21 en het betreft kwetsbaarheden in de protocollen “Oracle Net” en “HTTP”, die allen een lokale autorisatie nodig hebben. De kwetsbaarheden, die worden opgelost in de database, zijn minder ernstig van aard. De maximale CVSS score, die is toegekend, is 5.4.
Naast de genoemde database kwetsbaarheden worden ook enkele niet misbruikbare Log4J issues aangepakt

Gegeven de karakteristiek van de kwetsbaarheden is er voor de database geen reden af te wijken van het al gedefinieerde patchbeleid. 

Voor Oracle 12.1 en oudere releases komt geen CPU meer beschikbaar. Voor Oracle 12.2 is dit de laatste CPU die uitkomt. Als deze versies nog gebruikt worden is een upgrade noodzakelijk om een veilige omgeving te behouden. 

Oracle Client installaties

Deze CPU bevat geen patches die van toepassing zijn op een Oracle client installatie (zonder RDBMS).

Oracle SQL Developer

Deze CPU bevat geen patches die van toepassing zijn op een Oracle SQL Developer installatie. Het advies is de meest recente versie te gebruiken in verband met een Log4J kwetsbaarheid.

Oracle Enterprise Manager en WebLogic server

Het aantal kwetsbaarheden gerelateerd aan Enterprise Manager en WebLogic is groter en zo ook het risico. De Enterprise Manager bevat 7 nieuwe kwetsbaarheden waarvan zes misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie, één van deze heeft een CVSS score van 9.8. Het treft hier de versies 12.4.0.0, 13.3.0.1, 13.4.0.0, 13.4.1.0, 13.5.0.0 en 13.5.1.0.

Fusion Middleware, waar WebLogic Server onder valt, bevat 39 nieuwe kwetsbaarheden waarvan er 35 misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie. De hoogste CVSS score wat betreft de kwetsbaarheden van Fusion Middleware heeft een classificatie van 9.8. Het treft hier de versies 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 en 14.1.1.0.0.

Gegeven de impact van deze kwetsbaarheden is het advies Enterprise Manager en WebLogic Server direct te patchen.

Oracle Java SE

Achttien nieuwe kwetsbaarheden worden voor Oracle Java SE geadresseerd in deze CPU. Deze kunnen allemaal worden misbruikt voor het verkrijgen van remote toegang zonder enige authenticatie. De hoogste CVSS score van de kwetsbaarheden in Oracle Java SE heeft een classificatie van 6.5. Het betreft hier de versies 7u321, 8u311, 11.0.13 en 17.

Gegeven de impact van deze kwetsbaarheden is het advies Oracle Java SE direct te patchen.

Oracle MySQL

In deze patch worden 78 nieuwe kwetsbaarheden voor de MySQL database opgelost. Drie van deze kwetsbaarheden kunnen misbruikt worden voor het verkrijgen van remote toegang zonder enige authenticatie. Waarvan er twee met een CVSS score van 7.5. Het treft hier de versies 5.7.36, 8.0.27 en eerder.

Gezien het grote aantal kwetsbaarheden wordt geadviseerd naar de laatste minor release te upgraden.

Algemeen

Elk patch advies bevat nieuwe kwetsbaarheden die in de software zijn gevonden. Software die niet is gepatcht, maakt het voor hackers extra makkelijk om data te stelen of te verminken. Reden genoeg om regelmatig te patchen. In een patchplan bepaal je o.a. hoe vaak per jaar er minimaal gepatcht wordt om te voorkomen dat het altijd een ad-hoc beslissing blijft.
Op Windows kunnen de CPU’s later beschikbaar komen, tot een maand na aankondiging.
Advies nodig bij het opstellen van een patchplan? Neem gerust contact met ons op voor een vrijblijvend gesprek?

Release planning

De volgende CPU’s staan gepland voor:

  • 19 april 2022
  • 19 juli 2022
  • 18 oktober 2022
  • 17 januari 2023

Verwijzingen

Meer informatie over deze CPU is te vinden via pagina “Oracle Security Alerts” en op pagina “Documentation Map” staan verwijzingen naar waar en welke patch te downloaden.

Oracle Security Alerts

Critical Patch Update for January 2022 Documentation Map (Doc ID 2832427.1); https://support.oracle.com/epmos/faces/DocumentDisplay?id=2832427.1

We hopen dat we je met dit artikel Critical Patch update Oracle januari 2022 op weg hebben geholpen. Mocht je hulp nodig hebben of je hebt vragen n.a.v. dit artikel, laat het ons dan weten.

Oracle Security en patching

Scroll to Top