CPU Patch - Januar 2011

Erscheinungsdatum: 18. Januar 2011

Zusammenfassung

In diesem CPU Patch wurden insgesamt 7 neue Sicherheitslücken für Oracle Datenbank Produkte behoben.

• 5 dieser Sicherheitslücken betreffen den Oracle Datenbank Server.
  
  Davon kann 1 dieser Sicherheitslücken Remote ohne Authentifizierung eines Benutzers, sprich ohne Benutzername/Passwort, ausgenutzt werden.
  
  Unter allen Betriebssystemen wurde eine dieser Sicherheitslücken als kritisch eingestuft (CVSS Base Score = 6,9).
  
  
• 1 weitere Sicherheitslücke betrifft Oracle Secure Backup.
  
  Diese Sicherheitslücke kann Remote ohne Authentifizierung eines Benutzers, sprich ohne Benutzername/Passwort, ausgenutzt werden.
  
  Sie wurde als kritisch eingestuft (CVSS Base Score = 6.4).
  
  
• Die letzte Sicherheitslücke betrifft Oracle Audit Vault.
  
  Diese Sicherheitslücke kann Remote ohne Authentifizierung eines Benutzers, sprich ohne Benutzername/Passwort, ausgenutzt werden.
  
  Sie wurden als sehr kritisch eingestuft (CVSS Base Score = 10.0).
  
  
• Eine weitere Sicherheitslücke betrifft Oracle Enterprise Manager Grid Control. Sollte Ihre Datenbank diese Komponente verwenden, empfehlen wir auch hierfür das Critical Patch Update einzuspielen. Ist somit Sicherheitslücke Nummer 8.

Dieser CPU ist für folgende Datenbankversionen konzipiert:

• 10.2.0.3
• 10.2.0.4
• 10.2.0.5
• 10.2.3.2
• 10.3.0.2
• 11.1.0.7
• 11.2.0.1

Details über die behobenen Schwachstellen des Oracle Database Server

Anzahl	Betroffene Datenbank Komponente	Min./Max. CVSS Base Score	Höchstes betroffenes Patchset eines noch supporteten RDBMS-Releases	Remote Exploit ohne Authenti-fizierung	Bemer- kung
1	Client System Analyzer	7.5	11.1.0.7, 11.2.0.1	Ja	1)
1	Cluster Verify Utility	6.9	10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1	Nein	2)
2	Database Vault	6.8 / 3.6	10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1	Ja
1	Oracle Spatial	4.9	10.2.0.4, 11.1.0.7, 11.2.0.1	Nein
1	Scheduler Agent	4.3	11.1.0.7, 11.2.0.1	Nein

1) Sicherheitslücke des Oracle Enterprise Manager Grid Control. Relevant für Datenbanken, welche mit dieser Komponente arbeiten.

2) Betrifft nur Datenbanken mit einer Microsoft Windows Plattform.

Details über die behobene Schwachstelle des Oracle Secure Backup

Anzahl	Betroffene Datenbank Komponente	Min./Max. CVSS Base Score	Höchstes betroffenes Patchset eines noch supporteten RDBMS-Releases	Remote Exploit ohne Authenti-fizierung	Bemer- kung
1	mod_ssl	6.4	10.3.0.2	Ja

 

Details über die behobene Schwachstelle des Oracle Audit Vault

Anzahl	Betroffene Datenbank Komponente	Min./Max. CVSS Base Score	Höchstes betroffenes Patchset eines noch supporteten RDBMS-Releases	Remote Exploit ohne Authenti-fizierung	Bemer- kung
1	Audit Vault	10.0	10.2.3.2	Ja	1)

1) Der CVSS Base Core = 10.0 betrifft ausschließlich Windows. Für Linux, Unix und alle anderen Plattformen beträgt der CVSS Base Core = 7.5.

 

Generell gilt: Sollten Sie die in der Spalte "Betroffene Datenbank Komponente" aufgeführte Komponente in Ihrer Datenbank gar nicht installiert haben, so ist Ihre Datenbank von diesem Problem auch nicht betroffen.

Nachfolgende Bugs wurden mit diesem Critical Patch Update behoben:

CVE-2010-3600 (Oracle Enterprise Manager Grid Control)
CVE-2010-4423
CVE-2010-4421
CVE-2010-3590
CVE-2010-4413
CVE-2010-4420
CVE-2009-3555
CVE-2010-4449

Weitere Informationen

Oracle Critical Patch Update Advisory - Januar 2011

Suche