Durch diesen CPU sind relativ weniger Datenbank relevante Security Leaks behoben.
Oracle 19c Database
- CVE-2023-21918, CVE-2023-24998, CVE-2022-45143, CVE-2023-21934
Oracle 21c Database
- CVE-2023-21918, CVE-2023-24998, CVE-2022-45061, CVE-2022-37454, CVE-2022-42919, CVE-2023-21934, CVE-2022-45143, CVE-2022-1471
Schaut man sich diese Lücken an, sieht man dass diese - mit Ausnahme der Lücke in Bezug auf RMAN - mit speziellen Features zu tun haben.
- CVE-2023-21934 (Java VM) ist nur relevant, wenn man Java in der Datenbank nutzt - in diesem Fall sollte man den Patch zügig einspielen.
- CVE-2023-21918 (RMAN) ist nur relevant, wenn man das SYSDBA Privileg nutzt (dazu muss man lokal am Datenbank Server angemeldet sein) um dann über SQLNET auf eine Lokale Datenbank zu verbinden. Sollte ein Hacker schon am Server sein, ist diese Lücke definitiv nicht das größte Problem.
- CVE-2023-21918, CVE-2022-37454 und CVE-2022-42919 betreffen die Anmeldung über HTTP an der Datenbank - also mit Oracle Workload Manager sowie Spatial und Graph. Sind die entsprechenden Optionen in der Datenbank nicht enthalten (OWM und SPATIAL) sollte man auf der sicheren Seite sein.
- CVE-2022-45061 (OML4PY Python) trifft nur Oracle 21c.
Oracle JDK (sowohl Datenbank 19c, 21c als auch Clients)
- CVE-2023-21937, CVE-2023-21968, CVE-2023-21938, CVE-2023-21939, CVE-2023-21954, CVE-2023-21967, CVE-2023-21930
Sofern man Java in der Datenbank nutzt
Sofern man kein Java in der Oracle Datenbank nutzt (oder auch nur die Option installiert hat), muss man schon ein Login auf dem Datenbank Server haben um die betroffenen Java Programme/Module manuell starten zu können. Trotzdem ist es empfehlenswert auch die Java Security Lücken zu Patchen.
Referenzen