CPU Patch - Oktober 2009
Erscheinungsdatum: 20. Oktober 2009
Zusammenfassung
In diesem CPU Patch wurden insgesamt 16 neue Sicherheitslücken für Oracle Datenbank Produkte behoben.
- 15 Sicherheitslücken betreffen die Oracle Datenbank direkt
6 dieser Sicherheitslücken können Remote ohne Authentifizierung eines Benutzers, sprich ohne Benutzername/Passwort, ausgenutzt werden.
Von diesen 16 Sicherheitslücken wurden unter Microsoft Windows 3 von Oracle als sehr kritisch (CVSS Base Score = 10,0) eingestuft. Alle drei können ohne Authentifizierung eines Benutzers ausgenutzt werden.
Unter allen anderen Betriebssystemen wurde diese 3 Sicherheitslücken "nur" als kritisch eingestuft (CVSS Base Score >= 7,5). - 1 dieser Sicherheitslücken bezieht sich auf Oracle APEX.
Um diese Schwachstelle auszunutzen, ist jedoch die Authentifizierung eines Benutzers notwendig. Sie wurde mit einem CVSS Base Score von 5,5 eingestuft.
Dieser CPU ist für folgende Datenbankversionen konzipiert:
- 9.2.0.8
- 9.2.0.8DV (mit Data Vault)
- 10.1.0.5
- 10.2.0.3
- 10.2.0.4
- 11.1.0.6
- 11.1.0.7
- 3.0.1 (Oracle APEX)
Details über die behobenen Schwachstellen
Anzahl | Betroffene | Min./Max. CVSS Base Score | Höchstes betroffenes | Remote | Bemer- |
|---|---|---|---|---|---|
1 | Core RDBMS | 10.0 | 9.2.0.8, 10.1.0.5, 10.2.0.4 | Ja | 1) |
2 | Network Authentication | 10.0 | 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.4 | Ja | 2) |
1 | Data Mining | 6.5 | 10.2.0.4 | Nein | |
1 | Spatial | 6.5 | 10.1.0.5 | Nein | |
1 | PL/SQL | 6.5 | 10.2.0.4, 11.1.0.7 | Nein | |
1 | Application Express | 5.5 | 3.0.1 | Nein | 3) |
2 | Workspace Manager | 5.5 | 10.2.0.4 | Nein | |
1 | Net Foundation Layer | 5.4 | 9.2.0.8, 10.1.0.5 | Ja | 1) |
2 | Authentication | 5.0 | 10.2.0.3, 11.1.0.7 | Ja | |
1 | Advanced Queuing | 4.9 | 10.2.0.4, 11.1.0.7 | Nein | |
1 | Oracle Text | 3.6 | 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.4 | Nein | |
1 | Data Pump | 3.5 | 10.1.0.5, 10.2.0.3, 11.1.0.7 | Nein | |
1 | Auditing | 2.1 | 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.4, 11.1.0.7 | Nein |
*) Sollten Sie die in der Spalte "Betroffene Datenbank Komponente" aufgeführte Komponente in Ihrer Datenbank gar nicht in installiert haben, so ist ihre Datenbank von diesem Problem auch nicht betroffen.
1) Diese Sicherheitslücke betrifft nur die Windows-Plattform. Der CVSS Score in der Risk Matrix betrifft den Server. Clients, die mit administrativen Rechten laufen, erhalten den CVSS Score 7.6, ohne administrative Rechte nur 5.1.
2) Der CVSS Base Score für die Windows-Plattform ist 10.0. Für Linux, Unix und alle anderen Plattformen ist der CVSS Base Score "nur" 7.5.
3) Dieser CPU setzt für das Beheben der Oracle Application Express Sicherheitslücke Oracle APEX 3.2 voraus.
Nachfolgende Bugs wurden mit diesem Critical Patch Update behoben:
CVE-2009-1992
CVE-2009-1979
CVE-2009-1985
CVE-2009-1007
CVE-2009-1994
CVE-2009-2001
CVE-2009-1993
CVE-2009-1018
CVE-2009-1964
CVE-2009-1965
CVE-2009-1997
CVE-2009-2000
CVE-2009-1995
CVE-2009-1991
CVE-2009-1971
CVE-2009-1972
