Oracle Critical Patch Update July 2021
Diese Security Patches gibt es nur noch für die Releases 12.1.0.2, 12.2.0.1 und 19c. Stand 21. Juli 2021, 10Uhr sind die Patches noch nicht herunterladbar. Lauf der Verfügbarkeitsinfo werden diese erst beginnend mit dem 23. Juli für Linux zur Verfügung stehen. Bei den meisten anderen Platformen wird es noch 7-14 Tage dauern.
In Summe gibt es 16 neue Datenbank Security Patches, wobei die meisten Probleme im Bereich Oracle Net bzw. HTTP (APEX) zu finden sind. Der CVE-2021-2351 ist mit dem Score von 8.3 am relevantesten. Dieser beschreibt das Deaktivieren - sobald der Juli 2021 Security Patch eingespielt ist -
der schwachen Verschlüsselungsmethoden durch die Einführung des Parameters SQLNET.ALLOW_WEAK_CRYPTO, den man auf FALSE setzen muss. Dadurch werden DES, 3DES und RC4 Ciphers verboten.
Allerdings konnte man auch schon bisher Native Network Encryption sicher konfigurieren, indem man folgende Einstellungen am Datenbank Server im SQLNET.ORA definiert:
SQLNET.ENCRYPTION_SERVER=REQUIRED # oder zumindest REQUESTED
SQLNET.ENCRYPTION_TYPES_SERVER=(AES256) # oder AES128, AES192
Wenn man zusätzlich auch noch sichere Crypto Checksummen möchte, empfehlen wir zusätzlich folgende Einstellungen:
SQLNET.CRYPTO_CHECKSUM_SERVER=REQUIRED # oder zumindest REQUESTED
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER=(SHA512) # oder SHA256, SHA384
Bitte beachten sind, dass diese Verschlüsselung des Netzwerkverkehrs erst ab Oracle 11.2.0.3 kostenlos ist, und dass es bei einige älteren Client Versionen - speziell auch mit JDBC - Probleme mit der AES Verschlüsselung gibt.
Man sollte daher darauf achten, dass man auf aktuelle Client Versionen umsteigt und darf solange leider nur REQUESTED einstellen, da es sonst zu keinem Verbindungsaufbau bzw. zu Verbindungsunterbrechungen kommen kann.
Der CVE-2021-2328 mit einem Base Score von 7.2 ist nur dann relevant, wenn man in der Datenbank die Oracle Text Option installiert hat.
CVE-2021-2329 und CVE-2021-2337, ebenfalls mit einem Base Score von 7.2, betreffen die Oracle XML DB Option. Allen drei CVEs benötigen zusätzlich ein Login mit einem Benutzer der über hohe Privilegien (CREATE ANY PROCEDURE sowie ALTER ANY TABLE oder CREATE PUBLIC SYNONYM) verfügen muss. Diese Privilegien (speziell CREATE ANY PROCEDURE) sollten nur DBAs haben.<
Mehr zum Thema unbenötigte Datenbank Optionen vermeiden finden Sie in diesem Webinar.
Die CVEs CVE-2020-27193, CVE-2020-26870 und CVE-2020-26870 betreffen APEX vor 21.1.0.0.1 und haben einem Base Score von 5.4.
Alle anderen CVEs weisen einen Score von unter 5 auf und betreffen mit einer Ausnahme alle Optionen bzw. den Oracle Enterprise Manager.
Zusammenfassung
Wer sich an unsere Empfehlungen hält (keine unnötigen Optionen, sichere Netzwerkverschlüsselung, keine Benutzer mit hohen Privilegien) und beim Einsatz von APEX auf eine aktuelle Version (ab 21.1.0.0.1) setzt, muss diesen Security Patch nicht sofort installieren. Alle anderen sollten sich diesen Patch genauer ansehen.
Referenzen