Security – Critical patch update Oracle oktober 2023

Critical Patch Update Oracle oktober 2023. Op 17 oktober 2023 heeft Oracle haar laatste Critical Patch Update (CPU) van 2023 uitgebracht. Dit is de manier waarop Oracle security patches beschikbaar stelt voor haar producten. Dit is noodzakelijk om op een gestructureerde manier de gevonden kwetsbaarheden in de Oracle software op te lossen. Deze CPU bevat 387 nieuwe security patches voor de gehele productfolio van Oracle, waarvan wij er een aantal uitlichten die mogelijk voor je organisatie van toepassing zijn. Van de 387 zijn er 311, dat is zo’n 80%, gerelateerd aan 3rd party producten, die met Oracle producten worden meegeleverd. 

Oracle database server  

In de CPU van oktober worden 10 kwetsbaarheden gemeld die in deze CPU voor de database worden opgelost. De geïdentificeerde versies zijn Oracle 19 en Oracle 21 en het betreft kwetsbaarheden in onder andere de componenten “Oracle Database Recovery Manager”, “Java VM”, “OML4Py (cryptography)”, “Oracle Spatial and Graph (cURL en Apache Batik)”, “PL/SQL”, “Oracle Notification Server”, “Oracle Database Fleet Patching and Provisioning” en “Oracle Database Sharding”. Twee componenten bevatten kwetsbaarheden die zonder autorisatie remote toegang tot de database mogelijk maken. Allen hebben een relatief lage score. 

Oracle Client installaties  

Deze CPU bevat geen kwetsbaarheden die van toepassing zijn op een Oracle client installatie (zonder RDBMS). 

Oracle SQL Developer 

Voor SQL Developer zijn er geen kwetsbaarheden gemeld. Toch staat het advies altijd de meest recente versie te gebruiken, versie 23.1.0.097.1607 . 

Oracle REST Data Services 

ORDS heeft één kwetsbaarheid in het component ORDS (Eclipse Jetty) die zonder autorisatie remote toegang tot de database mogelijk maakt en heeft een relatief lage CVSS score van 5.3. 

Oracle GoldenGate 

Voor Oracle GoldenGate zijn er zes patches beschikbaar in deze CPU, waarvan er drie misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie. De CVSS scores zijn maximaal een 7.5. De geraakte componenten zijn Oracle GoldenGate Studio (Jettison) en GoldenGate Studio (json-smart).  

Oracle Fusion Middleware en WebLogic 

Fusion Middleware, waar WebLogic Server onder valt, bevat 46 nieuwe kwetsbaarheden waarvan er 35 misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie. Voor Weblogic zijn er acht kwetsbaarheden gerapporteerd met een CVSS score van 9.8. Het treft de WebLogic versies 12.2.1.3.0, 12.2.1.4.0 en 14.1.1.0.0.  

Gegeven het aantal en de impact van de kwetsbaarheden is het advies WebLogic Server direct te patchen.  

Oracle Enterprise Manager 

Het aantal kwetsbaarheden gerelateerd aan Enterprise Manager is ook deze keer relatief beperkt. De Enterprise Manager bevat 5 nieuwe kwetsbaarheden die allen misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie, één heeft een CVSS score van 9.1. Het treft hier de versies 12.4.0.0, 13.3.0.1, 13.5.0.0 en 13.5.1.1. 

Gegeven de impact van deze kwetsbaarheden en de kwetsbaarheden in Fusion Middleware, waar Oracle Enterprise Manager gebruikt van maakt, is het advies Enterprise Manager direct te patchen.  

Oracle Java SE 

Vijf nieuwe kwetsbaarheden worden voor Oracle Java SE geadresseerd in deze CPU. Alle vijf kunnen worden misbruikt voor het verkrijgen van remote toegang zonder enige authenticatie. De hoogste CVSS score van deze kwetsbaarheden in Oracle Java SE heeft een classificatie van 7.5. De geraakte versies zijn 8u381 , 11.0.20 , 17.0.8 en 20.0.2.  

Gegeven de impact van deze kwetsbaarheden is het advies Oracle Java SE direct te patchen.  

Oracle MySQL  

In deze patch worden 37 nieuwe kwetsbaarheden voor de MySQL database opgelost. Negen van deze kwetsbaarheden kunnen misbruikt worden voor het verkrijgen van remote toegang zonder enige authenticatie. Waarvan er één met een CVSS score van 9.8. De kwetsbaarheden betreffen de versies 5.7.43, 8.0.34, 8.1.0 en alle voorgaande versies van 5.7.43, 8.0.34, 8.1.0. 

Gezien het grote aantal kwetsbaarheden wordt geadviseerd direct naar de laatste minor release te upgraden.  

Oracle Virtualization 

Met de patch voor Virtualbox worden 3 nieuwe kwetsbaarheden opgelost. Geen van deze kwetsbaarheden kunnen misbruikt worden voor het verkrijgen van remote toegang zonder enige authenticatie. 

Het advies is altijd de meest recente versie van VirtualBox te gebruiken, versie 7.0.12. 

Algemeen 

Elk patch advies bevat nieuwe kwetsbaarheden die in de software zijn gevonden. Software die niet is gepatcht, maakt het voor hackers extra makkelijk om data te stelen of te verminken. Reden genoeg om regelmatig te patchen. In een patchplan bepaal je o.a. hoe vaak per jaar er minimaal gepatcht wordt om te voorkomen dat het een ad-hoc beslissing blijft. Op Windows komen de CPU’s later beschikbaar komen, tot zeker een maand na aankondiging. 
 
Advies nodig bij het opstellen van een patchplan? Neem gerust contact met ons op voor een vrijblijvend gesprek?  

Release planning  

De volgende CPU’s staan gepland voor:  

  • 16 januari 2024 
  • 16 april 2024 
  • 16 juli 2024 
  • 15 oktober 2024

Verwijzingen  

Meer informatie over deze CPU is te vinden via pagina “Oracle Security Alerts” en op pagina “Documentation Map” staan verwijzingen naar waar en welke patch te downloaden. 

We hopen dat we je met dit artikel Critical Patch update Oracle oktober 2023 op weg hebben geholpen. Mocht je hulp nodig hebben of je hebt vragen n.a.v. dit artikel, laat het ons dan weten. 

Oracle Security en patching

Scroll to Top