Op 19 oktober 2021 heeft Oracle de laatste Critical Patch Update (CPU) van 2021 uitgebracht. Op deze manier stelt Oracle security patches beschikbaar voor haar producten. Dit is noodzakelijk omdat op een gestructureerde manier de gevonden kwetsbaarheden in de Oracle software worden te lossen.
Oracle database server
In de CPU van oktober worden 9 kwetsbaarheden gemeld die in deze CPU voor de database worden opgelost. De geïdentificeerde versies variëren van Oracle 12.1 tot en met Oracle 21 en betreft kwetsbaarheden in de protocollen “Local Logon”, “Oracle Net” en “HTTP”.
Van de negen kwetsbaarheden, die worden opgelost in de database, zijn er zeven minder ernstig van aard. Er is echter één kwetsbaarheid met een hoge CVSS score, namelijk in de component “Zero Downtime DB Migration to Cloud” met een CVSS score van 8.2, deze kan niet remote worden misbruikt. Er zijn twee de componenten, “Oracle Database Enterprise Edition (Apache Tomcat)” en “Oracle Application Express (CKEditor)”, met kwetsbaarheden die zonder autorisatie remote misbruikt kunnen worden.
Gegeven de karakteristiek van de kwetsbaarheden is er voor de database geen reden af te wijken van het al gedefinieerde patch beleid.
Voor Oracle 12.1 en oudere releases komt geen CPU meer beschikbaar. Als deze versie nog gebruikt worden is een upgrade noodzakelijk om een veilige omgeving te behouden.
Oracle Client installaties
De CPU van oktober bevat geen patches die van toepassing zijn op een Oracle client installatie (zonder RDBMS).
Oracle SQL Developer
De CPU van oktober bevat geen patches die van toepassing zijn op een Oracle SQL Developer installatie.
Oracle Enterprise Manager en WebLogic server
Het aantal kwetsbaarheden gerelateerd aan Enterprise Manager en WebLogic is groter en zo ook het risico. De Enterprise Manager bevat 8 nieuwe kwetsbaarheden waarvan vijf misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie, één van deze heeft een CVSS score van 9.8. Het treft hier de versies 12.4.0.0, 13.3.0.1, 13.4.0.0, 13.4.1.0, 13.5.0.0 en 13.5.1.0.
Fusion Middelware, waar WebLogic Server onder valt, bevat 38 nieuwe kwetsbaarheden waarvan er 30 misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie. De hoogste CVSS score wat betreft de kwetsbaarheden van Fusion Middleware heeft een classificatie van 9.8. Het treft hier de versies 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 en 14.1.1.0.0.
Gegeven de impact van deze kwetsbaarheden is het advies Enterprise Manager en WebLogicServer direct te patchen.
Oracle Java SE
Vijftien nieuwe kwetsbaarheden worden voor Oracle Java SE geadresseerd in deze CPU. Dertien ervan kunnen worden misbruikt voor het verkrijgen van remote toegang zonder enige authenticatie. De hoogste CVSS score wat betreft de kwetsbaarheden van Oracle Java SE heeft een classificatie van 8.6. Het treft hier de versies 7u311, 8u301, 11.0.12 en 17.
Gegeven de impact van deze kwetsbaarheden is het advies Oracle Java SE direct te patchen.
Oracle MySQL
In deze patch worden 66 nieuwe kwetsbaarheden voor de MySQL database opgelost. Tien van deze kwetsbaarheden kunnen misbruikt worden voor het verkrijgen van remote toegang zonder enige authenticatie. Waarvan er twee met een CVSS score van 9.8. Het treft hier de versies 5.7.35, 8.0.26 en eerder.
Gezien het grote aantal kwetsbaarheden wordt geadviseerd naar de laatste minor release te upgraden.
Algemeen
Elk patch advies bevat nieuwe kwetsbaarheden die in de software zijn gevonden. Niet gepatchte software maakt het voor hackers extra makkelijk om data te stelen of te verminken. Reden genoeg om regelmatig te patchen. In een patchplan bepaal je o.a. hoe vaak per jaar er minimaal gepatcht wordt om te voorkomen dat het altijd een ad-hoc beslissing blijft. Advies nodig bij het opstellen van een patchplan? Neem gerust contact met ons op voor een vrijblijvend gesprek?
Release planning
De volgende CPU’s staan gepland voor:
19 oktober 2021
18 januari 2022
19 april 2022
19 juli 2022
18 oktober 2022
Verwijzingen
Meer informatie over deze CPU is te vinden via pagina “Oracle Security Alerts” en op pagina “Documentation Map” staan verwijzingen naar waar en welke patch te downloaden.
Oracle Security Alerts
Oracle Critical Patch Update October 2021 Documentation Map (Doc ID 2793312.1)
We hopen dat we je met dit artikel Critical Patch update Oracle oktober 2021 op weg hebben geholpen. Mocht je hulp nodig hebben of je hebt vragen n.a.v. dit artikel, laat het ons dan weten.
