Security – Critical patch update Oracle juli 2023

Op 18 juli 2023 heeft Oracle haar derde Critical Patch Update (CPU) van 2023 uitgebracht. Dit is de  manier waarom Oracle security patches beschikbaar stelt voor haar producten. Dit is noodzakelijk om op een gestructureerde manier de gevonden kwetsbaarheden in de Oracle software op te lossen.

Oracle database server

In de CPU van juli worden 5 kwetsbaarheden gemeld die in deze CPU voor de database worden opgelost. De geïdentificeerde versies zijn Oracle 19 en Oracle 21 en het betreft kwetsbaarheden in onder andere  de componenten “Java VM”, “Unified Audit”, “Advanced Network Option”, “OML4Py” en “Oracle Text”. Slechts één vulnerability kan misbruikt worden zonder al toegang te hebben tot de database. Allen hebben een relatief lage score.

Oracle Client installaties

Deze CPU bevat een vulnerability die ook van toepassing is op een Oracle client installatie (zonder RDBMS).

Oracle SQL Developer

Voor SQL Developer zijn er geen  kwetsbaarheden gemeld. Toch staat het advies is altijd de meest recente versie te gebruiken, versie 23.1.0.097.1607.

Oracle GoldenGate

Voor Oracle GoldenGate zijn er twee patches beschikbaar in deze CPU, waarvan er één misbruikt kan worden voor het verkrijgen van remote toegang zonder enige authenticatie. De  CVSS scores  zijn relatief laag (maximaal een 6.5).  De geraakte component is Oracle GoldenGate Stream Analytics.

Oracle Fusion Middleware en WebLogic

Fusion Middleware, waar WebLogic Server onder valt, bevat 60 nieuwe kwetsbaarheden waarvan er 40 misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie. Voor Weblogic zijn er tien  kwetsbaarheden  gerapporteerd  Hiervan heeft er één een CVSS score van 9.8. Het treft raakt  de WebLogic versies  12.2.1.4.0 en 14.1.1.0.0.

Gegeven het aantal en de  impact van deze kwetsbaarheden is het advies WebLogic Server direct te patchen.

Oracle Enterprise Manager

Het aantal kwetsbaarheden gerelateerd aan Enterprise Manager is ook deze keer relatief beperkt. De Enterprise Manager bevat 8 nieuwe kwetsbaarheden waarvan zes misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie, twee hebben een CVSS score van 9.8. Het treft hier de versies 12.4.0.0 en 13.3.0.1.  Deze kwetsbaarheden zitten iet in het database gerelateerde componenten van het Enterprise Manager Framework.

Gegeven de impact van deze kwetsbaarheden en de kwetsbaarheden in Fusion Middleware, waar Oracle Enterprise Manager gebruikt van maakt, is het advies Enterprise Manager direct te patchen.

Oracle Java SE

Negen nieuwe kwetsbaarheden worden voor Oracle Java SE geadresseerd in deze CPU.  Acht van de negen kunnen worden misbruikt voor het verkrijgen van remote toegang zonder enige authenticatie. De hoogste CVSS score van deze kwetsbaarheden in Oracle Java SE hebben een classificatie van 5.9. De geraakte  versies zijn 8u371 , 11.0.19  , 11.0.18, 17.0.7 en diverse 20, 21  en 22 versies.

Gegeven de impact van deze kwetsbaarheden is het advies Oracle Java SE direct te patchen.

Oracle MySQL

In deze patch worden 24 nieuwe kwetsbaarheden voor de MySQL database opgelost. Elf van deze kwetsbaarheden kunnen misbruikt worden voor het verkrijgen van remote toegang zonder enige authenticatie. Waarvan er één met een CVSS score van 9.8. de Kwetsbaarheden treft hier de versies 5.7.42 , 8.0.33 en alle voorgaande versies.

Gezien het grote aantal kwetsbaarheden wordt geadviseerd naar de laatste minor release te upgraden.

Oracle Virtualization

Met de patch voor Virtualbox worden 4 nieuwe kwetsbaarheden opgelost. Twee van deze kwetsbaarheden met een CVSS score van 8.2 kunnen misbruikt worden voor het verkrijgen van remote toegang zonder enige authenticatie.

Het advies is altijd de meest recente versie van VirtualBox te gebruiken, versie 7.0.10.

Algemeen

Elk patch advies bevat nieuwe kwetsbaarheden die in de software zijn gevonden. Software die niet is gepatcht, maakt het voor hackers extra makkelijk om data te stelen of te verminken. Reden genoeg om regelmatig te patchen. In een patchplan bepaal je o.a. hoe vaak per jaar er minimaal gepatcht wordt om te voorkomen dat het een ad-hoc beslissing blijft.
Op Windows komen de CPU’s later beschikbaar komen, tot zeker een maand na aankondiging.
Advies nodig bij het opstellen van een patchplan? Neem gerust contact met ons op voor een vrijblijvend gesprek?

Release planning

De volgende CPU’s staan gepland voor:

  • 17 oktober 2023
  • 16 januari 2024
  • 16 april 2024
  • 16 juli 2024

Verwijzingen

Meer informatie over deze CPU is te vinden via pagina “Oracle Security Alerts” en op pagina “Documentation Map” staan verwijzingen naar waar en welke patch te downloaden.

We hopen dat we je met dit artikel Critical Patch update Oracle juli 2023 op weg hebben geholpen. Mocht je hulp nodig hebben of je hebt vragen n.a.v. dit artikel, laat het ons dan weten.

Oracle Security en patching

Scroll to Top