De derde CPU (Critical Patch Update) van 2018 is door Oracle vrijgegeven op dinsdag 17 juli en bevat patches voor kwetsbaarheden in verschillende Oracle producten. Axis into ICT analyseert deze CPU’s op de onderdelen ‘Database’ en ‘Enterprise Manager’.
Database
Er zijn drie kwetsbaarheden gevonden waarvan één serieuze aandacht nodig heeft.
Het lijkt mogelijk te zijn om via Oracle Spatial kwaadaardige code uit te voeren op de database(server). Dit wordt veroorzaakt door een kwetsbaarheid in jackson-databind, een JSON-mapper waar Spatial gebruik van maakt. De kwetsbaarheid heeft een CVE Base Score gekregen van 9.8 (max 10) wat voornamelijk wordt veroorzaakt door het feit dat hij misbruikt kan worden via het netwerk zonder dat hiervoor ingelogd hoeft te worden. Gelukkig zijn niet alle database versies hiervoor gevoelig. Alleen de versies 12.2.0.1 en 18.1 lijken hierdoor getroffen te worden.
Gezien de eenvoud van misbruik en grote impact luidt het advies om zo snel mogelijk de database software te patchen wanneer Spatial is geinstalleerd in een 12.2.0.1 of 18.1 database!
Enterprise Manager
Verschillende componenten van Enterprise Manager zijn gevoelig geworden door een kwetsbaarheid in Apache Log4j. Ook hier krijgt een aanvaller de mogelijkheid om zonder authenticatie via het netwerk kwaadaardige code uit te voeren op de onderliggende server. De CVE Base Score is ook hier 9.8. Enterprise Manager maakt gebruik van de applicatieserver Weblogic. Binnen weblogic wordt ook jackson-databind gebruikt waardoor ook op dit vlak een kwetsbaarheid is ontstaan met een CVE Base Score van 9.8.
Op basis van de gevonden kwetsbaarheden in Enterprise Manager en Weblogic luidt het advies om zo snel mogelijk deze producten te patchen!