Aktueller CPU Patch - Januar 2010
Erscheinungsdatum: 12 Januar 2010
Zusammenfassung
In diesem CPU Patch wurden insgesamt 10 neue Sicherheitslücken für Oracle Datenbank Produkte behoben.
- 9 Sicherheitslücken betreffen die Oracle Datenbank direkt
1 dieser Sicherheitslücken kann Remote ohne Authentifizierung eines Benutzers, sprich ohne Benutzername/Passwort, ausgenutzt werden.
Von diesen 9 Sicherheitslücken wurde unter Microsoft Windows 1 von Oracle als sehr kritisch (CVSS Base Score = 10,0) eingestuft. Diese kann ohne Authentifizierung eines Benutzers ausgenutzt werden, betrifft den Oracle Listener und alle derzeit aktuellen Versionen der Datenbank.
Unter allen anderen Betriebssystemen wurde diese Sicherheitslücke "nur" als kritisch eingestuft (CVSS Base Score = 7,5).
Des Weiteren wurde eine weitere dieser 9 Sicherheitslücken ebenfalls als höchst kritisch (CVSS Base Score = 9,0) eingestuft. Sie betrifft die Oracle OLAP Komponente in der Datenbank, aber nur "ältere" Versionen der Oracle Datenbank (bis zu 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.3), zudem benötigt man eine gültige Datenbankkennung für den Angriff. - 1 dieser Sicherheitslücken bezieht sich auf Oracle Secure Backup.
Diese Sicherheitslücke kann Remote ohne Authentifizierung eines Benutzers, sprich ohne Benutzername/Passwort, ausgenutzt werden.
Diese Sicherheitslücke wurde von Oracle als sehr kritisch (CVSS Base Score = 10,0) eingestuft. Diese kann ohne Authentifizierung eines Benutzers ausgenutzt werden, betrifft den Oracle Listener, aber nur "ältere" Versionen der Oracle Datenbank (bis zu 10.2.0.3).
Dieser CPU ist für folgende Datenbankversionen konzipiert:
- 9.2.0.8
- 9.2.0.8DV (mit Data Vault)
- 10.1.0.5
- 10.2.0.3
- 10.2.0.4
- 11.1.0.7
Details über die behobenen Schwachstellen
Anzahl | Betroffene | Min./Max. CVSS Base Score | Höchstes betroffenes | Remote | Bemer- |
|---|---|---|---|---|---|
1 | Listener | 10.0 | 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.4, 11.1.0.7 | Ja | 1) |
1 | Oracle OLAP | 9.0 | 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.3 | Nein | |
1 | Application Express Application Builder | 6.0 | 3.2.1.00.10 | Nein | 2) |
1 | Oracle Data Pump | 4.9 | siehe 3) | Nein | 3) |
2 | Oracle Spatial | 4.9/3.2 | 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.3 | Nein | |
1 | Logical Standby | 4.0 | siehe 3) | Nein | 3) |
1 | RDBMS | 3.6 | siehe 3) | Nein | 3) |
1 | Unzip | 1.0 | 9.2.0.8, 9.2.0.8DV, 10.1.0.5 | Nein | 4) |
*) Sollten Sie die in der Spalte "Betroffene Datenbank Komponente" aufgeführte Komponente in Ihrer Datenbank gar nicht in installiert haben, so ist ihre Datenbank von diesem Problem auch nicht betroffen.
1) Der CVSS Base Score für die Windows-Plattform ist 10.0. Für Linux, Unix und alle anderen Plattformen ist der CVSS Base Score "nur" 7.5.
2) Behoben in Oracle Application Express, Version 3.2.1.00.11.
3) Wurde in allen Releases die unter Support stehen behoben. Um diese Sicherheitslücke zu beheben muss ggfs. eine Upgrade auf ein unter Support stehendes Release vorgenommen werden.
4) Wurde mit dem Oracle Universal Installer Patch 6640838 behoben.
Nachfolgende Bugs wurden mit diesem Critical Patch Update behoben:
CVE-2010-0071
CVE-2009-3415
CVE-2010-0076
CVE-2009-3411
CVE-2009-3414
CVE-2009-1996
CVE-2009-3410
CVE-2009-3413
CVE-2009-3412
