Security update Oracle Januari 2021

Op 19 januari 2021 heeft Oracle de eerste Critical Patch Update (CPU) van 2021 uitgebracht. Op deze manier stelt Oracle security patches beschikbaar voor haar producten. Dit is noodzakelijk om op een gestructureerde manier de in de Oracle software gevonden kwetsbaarheden op te lossen.  

Oracle database server 

In de CPU van januari worden 8 kwetsbaarheden gemeld die in deze CPU voor de database worden opgelost. De geïdentificeerde versies variëren van Oracle 12.1 tot en met Oracle 20 en het betreft kwetsbaarheden in de protocollen Oracle Net en HTTP.  
Van de acht kwetsbaarheden die worden opgelost in de database zijn er zes minder ernstig van aard. Er zijn echter twee kwetsbaarheden met een hoge CVSS score, één in het component RDBMS Scheduler met een CVSS score van 8.8 en één in het component Advanced Network Option met een CVSS score van 8.3. Voor de kwetsbaarheid in het component Advanced Network Option geldt dat die zonder autorisatie remote misbruikt kan worden. Voor het RDBMS Scheduler component geldt dat er eerst ingelogd moet worden voordat er misbruik van gemaakt kan worden. 
Gegeven de karakteristiek van de kwetsbaarheden is er voor de database geen reden af te wijken van het al gedefinieerde patch beleid. 

Voor Oracle 12.1 en oudere releases komt geen CPU meer beschikbaar. Als deze versies nog gebruikt worden, is een upgrade noodzakelijk om een veilige omgeving te behouden. 

Oracle Enterprise Manager en WebLogic server 

Het aantal kwetsbaarheden gerelateerd aan Enterprise Manager en WebLogic is groter en zo ook het risico. De Enterprise Manager bevat 8 nieuwe kwetsbaarheden waarvan alle misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie, vijf van deze hebben een CVSS score van 9.8. Het treft hier de versies 12.4.0.0, 13.2.1.0, 13.3.0.0 en 13.4.0.0. 

Fusion Middelware, waar WebLogic Server onder valt, bevat 60 nieuwe kwetsbaarheden waarvan er 47 misbruikt kunnen worden voor het verkrijgen van remote toegang zonder enige authenticatie. En 15 kwetsbaarheden zijn met een CVSS score 9.8 geclassificeerd. 
Gegeven de impact van deze kwetsbaarheden is het advies Enterprise Manager en WebLogic Server direct te patchen. 

Oracle MySQL 

In deze patch worden 43 nieuwe kwetsbaarheden voor de MySQL database opgelost. Vijf van deze kwetsbaarheden kunnen misbruikt worden voor het verkrijgen van remote toegang zonder enige authenticatie. Waarvan er één met een CVSS score van 7.5.  Gezien het grote aantal kwetsbaarheden wordt geadviseerd naar de laatste minor release te upgraden. 

Algemene informatie

Elk patch advies bevat nieuwe kwetsbaarheden die in de software is gevonden, niet gepatchte software maakt het voor hackers extra makkelijk om data te stelen of te verminken. Reden genoeg om regelmatig te patchen. In een patchplan bepaal je o.a. hoe vaak per jaar er minimaal gepatcht wordt om te voorkomen dat het altijd een ad-hoc beslissing blijft. Advies nodig bij het opstellen van een patchplan? Neem gerust contact met ons op voor een vrijblijvend gesprek? 

De CPU’s staan in 2021 gepland voor: 

  • 20 april 2021 
  • 20 juli 2021  
  • 19 oktober 2021  

Meer informatie over deze CPU is te vinden via pagina “Oracle Security Alerts” en op pagina “Documentation Map” staan verwijzingen naar waar en welke patch te downloaden.  

Mocht je hulp nodig hebben of je hebt vragen n.a.v. dit artikel, laat het ons dan weten.

Scroll to Top