Security update Oracle Juli 2019

Op dinsdag 16 juli 2019 heeft Oracle haar derde Critical Patch Update (CPU) van 2019 uitgebracht. Met dit driemaandelijks fenomeen brengt Oracle security patches uit voor veel van haar producten. Axis into ICT analyseert deze CPU’s op het gebied van database en Enterprise Manager en destilleert uit de door Oracle verstrekte informatie de noodzaak om te patchen.

Over het algemeen adviseert Axis into ICT om regelmatig te patchen op basis van een patchbeleid. Het is beter om een vast patchritme te hebben dan elke keer ad-hoc de keuze te maken. Hoewel dit advies blijft staan, luidt het advies om deze keer zo snel mogelijk de databases te patchen! Er is in deze CPU een patch beschikbaar gekomen voor een lek dat volgens Common Vulnerability Scoring System (CVSS) een score krijgt van 9.8. Het lek is eenvoudig en zonder authenticatie te misbruiken en heeft na misbruik grote impact op de beschikbaarheid, integriteit en beveiliging van de data. Alle op dit moment ondersteunde database versies zijn kwetsbaar voor het lek (11.2.0.4, 12.1.0.2, 12.2.0.1, 18c en 19c).

Wanneer je de tijd zou nemen om alle CPU’s door te lezen met focus op Enterprise Manager, dan zou je leren dat er erg vaak iets aan de hand is met dit product. De ervaring leert dat er vrijwel elke patchronde meerdere kritieke beveiligingsproblemen worden opgelost. Het is daarom raadzaam om Enterprise Manager installaties regelmatig te patchen en de installatie op het netwerk goed af te schermen van andere systemen. Geef alleen mensen en systemen toegang die dit echt nodig hebben. Ook deze keer luidt het advies om te patchen, er worden meerdere gaten gedicht in zowel het Base Platform als in aan Enterprise Manager verwante producten.

De volgende CPU komt uit op 15 oktober 2019.