Op 18 oktober 2022 heeft Oracle de derde Critical Patch Update (CPU) van 2022 uitgebracht. Op deze manier stelt Oracle security patches beschikbaar voor haar producten. Dit is noodzakelijk om op een gestructureerde manier de gevonden kwetsbaarheden in de Oracle software op te lossen.
Oracle database server
In de CPU van oktober worden 8 kwetsbaarheden gemeld die in deze CPU voor de database worden opgelost. De geïdentificeerde versies zijn Oracle 19 en Oracle 21 en het betreft kwetsbaarheden in “Advanced Queuing”, “Database Sharding”, “Database Fleet Patching”, “Spatial and Graph”, “Oracle Notification Server”, “Oracle Services for MS Transaction Server”, “Oracle Database Machine Learning” en “JVM”. De component “Oracle Services for MS Transaction Server” heeft een kwetsbaarheid die remote toegang mogelijk maakt zonder rechten. Er zijn twee kwetsbaarheden met een CVSS score van 7.2, die remote misbruikt kunnen worden echter niet zonder autorisatie.
Ondanks dat deze keer geen grote kwetsbaarheden worden gerapporteerd is het advies altijd de database te patchen met de meest recente patch.
Op 11 oktober heeft Oracle belangrijk nieuws over de support termijn van Oracle 19 gepubliceerd. Oracle 19 heeft voor iedereen tot 30 April 30 volledige support. Dit wordt gedaan door het eerste jaar extended support voor iedereen gratis te maken. Dit nieuws is te lezen in note 742060.1
Oracle Client installaties
Deze CPU bevat geen patch, die van toepassing is op een Oracle client installatie (zonder RDBMS en niet van toepassing op de Oracle Instant Client).
Oracle SQL Developer
Deze CPU bevat geen patches voor een Oracle SQL Developer installatie. Het advies is gebruik altijd de meest recente versie (22.2.1.234.1810).
Oracle Enterprise Manager en WebLogic server
Het aantal kwetsbaarheden gerelateerd aan Enterprise Manager en WebLogic is deze keer relatief beperkt. De Enterprise Manager bevat 5 nieuwe kwetsbaarheden waarvan er 4 misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie, twee hebben een CVSS score van 9.8. Het treft hier de versies 12.4.0.0, 13.4.0.0 en 13.5.0.0.
Fusion Middleware, waar WebLogic Server onder valt, bevat 56 nieuwe kwetsbaarheden waarvan er 43 misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie. In totaal zijn er 7 specifiek voor WebLogic, echter hierin valt wel de hoogste score. De hoogste CVSS score wat betreft de kwetsbaarheden van Fusion Middleware heeft een classificatie van 9.8 en voor WebLogic een 8.1. Het treft hier de versies 12.2.1.3.0, 12.2.1.4.0 en 14.1.1.0.0.
Gegeven de impact van deze kwetsbaarheden is het advies Enterprise Manager en WebLogic Server direct te patchen.
Oracle Java SE
Negen nieuwe kwetsbaarheden worden voor Oracle Java SE geadresseerd in deze CPU. Alle negen kwetsbaarheden kunnen worden misbruikt voor het verkrijgen van remote toegang zonder enige authenticatie. De hoogste CVSS score van de kwetsbaarheden in Oracle Java SE heeft een classificatie van 9.1. Het betreft hier de versies 8u341, 8u345-perf, 11.0.16.1, 17.0.4.1, 19.
Gegeven de impact van deze kwetsbaarheden is het advies Oracle Java SE direct te patchen.
Oracle MySQL
In deze patch worden 37 nieuwe kwetsbaarheden voor de MySQL database opgelost. Elf van deze kwetsbaarheden kunnen misbruikt worden voor het verkrijgen van remote toegang zonder enige authenticatie. Waarvan er één met een CVSS score van 9.8. Het treft hier de versies (of eerder) 5.7.39, 8.0.25 en 8.0.30.
Gezien het grote aantal kwetsbaarheden wordt geadviseerd naar de laatste minor release te upgraden.
Oracle Virtualization
Met de patch voor Virtualbox worden 10 nieuwe kwetsbaarheden opgelost. Drie van deze kwetsbaarheden kunnen misbruikt worden voor het verkrijgen van remote toegang zonder enige authenticatie. Waarvan er één met een CVSS score van 8.8 en drie van 8.1 in het VRDP protocol.
Algemeen
Elk patch advies bevat nieuwe kwetsbaarheden die in de software zijn gevonden. Software die niet is gepatcht, maakt het voor hackers extra makkelijk om data te stelen of te verminken. Reden genoeg om regelmatig te patchen. In een patchplan bepaal je o.a. hoe vaak per jaar er minimaal gepatcht wordt om te voorkomen dat het altijd een ad-hoc beslissing blijft.
Op Windows kunnen de CPU’s later beschikbaar komen. Oracle geeft aan dat deze 5 november beschikbaar komen.
Heb je advies nodig bij het opstellen van een patchplan? Neem gerust contact met ons op voor een vrijblijvend gesprek!
Release planning
De volgende CPU’s staan gepland voor:
- 17 Januari 2023
- 18 April 2023
- 18 Juli 2023
- 17 Oktober 2023
Verwijzingen
Meer informatie over deze CPU is te vinden via pagina “Oracle Security Alerts” en op pagina “Documentation Map” staan verwijzingen naar waar en welke patch te downloaden.
Oracle Security Alerts
Critical Patch Update for October 2022 Documentation Map (Doc ID 2884326.1) https://support.oracle.com/epmos/faces/DocContentDisplay?id=2884326.1
We hopen dat we je met dit artikel Critical Patch update Oracle oktober 2022 op weg hebben geholpen. Mocht je hulp nodig hebben of je hebt vragen n.a.v. dit artikel, laat het ons dan weten.
