Op 17 januari 2023 heeft Oracle de eerste Critical Patch Update (CPU) van 2023 uitgebracht. Op deze manier stelt Oracle security patches beschikbaar voor haar producten. Dit is noodzakelijk om op een gestructureerde manier de gevonden kwetsbaarheden in de Oracle software op te lossen.
Oracle database server
In de CPU van januari worden 9 kwetsbaarheden gemeld die in deze CPU voor de database worden opgelost. De geïdentificeerde versies zijn Oracle 19 en Oracle 21 en het betreft kwetsbaarheden in de componenten “Machine Learning for Python”, “Workload Manager”, “Fleet patching”, “RDBMS Security”, “Java VM”, “Oracle Database Python” en “Data Redaction”. Geen van deze componenten heeft een kwetsbaarheid die remote toegang mogelijk maakt.
Oracle Client installaties
Het component “Oracle Data Provider for .NET” heeft een kwetsbaarheid met een CVSS score van 7.5 die remote toegang mogelijk maakt, echter niet zonder autorisatie en is alleen van toepassing voor de Oracle Client op het Windows platform.
Oracle SQL Developer
Deze CPU bevat geen patches die van toepassing zijn op een Oracle SQL Developer installatie. Het advies is de meest recente versie te gebruiken.
Oracle Fusion Middleware en WebLogic
Fusion Middleware, waar WebLogic Server onder valt, bevat 50 nieuwe kwetsbaarheden waarvan er 39 misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie. Vijftien kwetsbaarheden van WebLogic hebben de hoogste CVSS score met een classificatie van 9.8. Het treft hier de WebLogic versies 12.2.1.3.0, 12.2.1.4.0 en 14.1.1.0.0.
Gegeven de impact van deze kwetsbaarheden is het advies WebLogic Server direct te patchen.
Oracle Enterprise Manager
Het aantal kwetsbaarheden gerelateerd aan Enterprise Manager is deze keer relatief beperkt. De Enterprise Manager bevat 3 nieuwe kwetsbaarheden waarvan twee misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie, één van deze heeft een CVSS score van 9.8. Het treft hier de versies 12.4.0.0, 13.4.0.0 en 13.5.0.0.
Gegeven de impact van deze kwetsbaarheden en de kwetsbaarheden in Fusion Middleware, waar Oracle Enterprise Manager gebruikt van maakt, is het advies Enterprise Manager direct te patchen.
Oracle Java SE
Vier nieuwe kwetsbaarheden worden voor Oracle Java SE geadresseerd in deze CPU. Deze kunnen allemaal worden misbruikt voor het verkrijgen van remote toegang zonder enige authenticatie. De hoogste CVSS score van de kwetsbaarheden in Oracle Java SE heeft een classificatie van 8.1. Het betreft hier de versies 8u351, 11.0.17, 17.0.5 en 19.0.1.
Gegeven de impact van deze kwetsbaarheden is het advies Oracle Java SE direct te patchen.
Oracle MySQL
In deze patch worden 37 nieuwe kwetsbaarheden voor de MySQL database opgelost. Acht van deze kwetsbaarheden kunnen misbruikt worden voor het verkrijgen van remote toegang zonder enige authenticatie. Waarvan er drie met een CVSS score van 9.8. Het treft hier de versies 5.7.40, 7.4.38, 8.0.32 en alle voorgaande versies.
Gezien het grote aantal kwetsbaarheden wordt geadviseerd naar de laatste minor release te upgraden.
Oracle Virtualization
Met de patch voor Virtualbox worden 6 nieuwe kwetsbaarheden opgelost. Eén van deze kwetsbaarheden met een CVSS score van 9.8 kan misbruikt worden voor het verkrijgen van remote toegang zonder enige authenticatie.
Het advies is altijd de meest recente versie van VirtualBox te gebruiken.
Algemeen
Elk patch advies bevat nieuwe kwetsbaarheden die in de software zijn gevonden. Software die niet is gepatcht, maakt het voor hackers extra makkelijk om data te stelen of te verminken. Reden genoeg om regelmatig te patchen. In een patchplan bepaal je o.a. hoe vaak per jaar er minimaal gepatcht wordt om te voorkomen dat het altijd een ad-hoc beslissing blijft.
Op Windows kunnen de CPU’s later beschikbaar komen, tot een maand na aankondiging.
Advies nodig bij het opstellen van een patchplan? Neem gerust contact met ons op voor een vrijblijvend gesprek?
Release planning
De volgende CPU’s staan gepland voor:
- 18 April 2023
- 18 Juli 2023
- 17 Oktober 2023
- 16 Januari 2024
Verwijzingen
Meer informatie over deze CPU is te vinden via pagina “Oracle Security Alerts” en op pagina “Documentation Map” staan verwijzingen naar waar en welke patch te downloaden.
Oracle Security Alerts
Critical Patch Update for January 2023 Documentation Map (Doc ID 2834534.1); https://support.oracle.com/epmos/faces/DocContentDisplay?id=2834534.1
We hopen dat we je met dit artikel Critical Patch update Oracle januari 2023 op weg hebben geholpen. Mocht je hulp nodig hebben of je hebt vragen n.a.v. dit artikel, laat het ons dan weten.
