Critical Patch Update - April 2017

Erscheinungsdatum: 18. April 2017

 

Dieses Critical Patch Update beinhaltet 3 behobene Sicherheitslücken, die sich wie folgt aufteilen:

  • 2 dieser Sicherheitslücken betreffen den Oracle Datenbank Server
    Keine der beiden Schwachstellen kann Remote ohne Authentifizierung eines Benutzers, dprich ohne Benutzername/Passwort, ausgenutzt werden.
    Eine Schwachstelle betrifft nur Client-only Installationen (ohne Oracle Datenbank Server).
  • 1 dieser Sicherheitslücken betrifft Oracle Secure Backup
    Diese Schwachstelle kann Remote ohne Authentifizierung eines Benutzers, sprich ohne Benutzername/Passwort, ausgenutzt werden.

Unter allen Betriebsystemen wurde keine dieser Sicerheitslücken als sehr kritisch eingestuft (max. CVSS Base Score = 9.8).

Dieser Critical Patch Update ist für nachfolgende Datenbankversionen konzipiert:

  • alle bis 12.1.0.3

Details über die behobenen Schwachstellen des Oracle Database Server

Anzahl  Betroffene
Datenbank Komponente
Min./Max. CVSS Base Score Höchstes betroffenes Patchset eines supporteten RDBMS-Releases Remote
Exploit ohne Authentifizierung
Bemerkung
     1  SQL*Plus 7.2 11.2.04,  12.1.0.2, Nein 1) 2)
     1 OJVM 5.3 11.2.0.4,  12.1.0.2 Nein

1) Der angegebene Score betrifft Datenbank Version 11.2.0.4 unter Windows. Für Windows Plattformen 12.1.0.2 und Linux beträgt der Score 6.3.

2) Diese Oracle Database Server-Sicherheitsanfälligkeit, die in diesem Critical Patch Update enthalten ist, betrifft nur Client-Installationen: CVE-2017-3486.

Details über die behobenen Schwachstellen von Oracle Secure Backup

 Anzahl  Betroffene
Datenbank Komponente
Min./Max. CVSS Base Score Höchstes betroffenes Patchset eines supporteten RDBMS-Releases Remote
Exploit ohne Authentifizierung
Bemerkung
     1  PHP  9.8  alle bis 12.1.0.3.0  Ja


Generell gilt: Sollten Sie die in der Spalte "Betroffene Datenbank Komponente" aufgeführte Komponente in Ihrer Datenbank gar nicht installiert haben, so ist Ihre Datenbank von diesem Problem auch nicht betroffen.

Nachfolgende Bugs wurden mit diesem Critical Patch Update behoben:

CVE-2016-6290*

CVE-2017-3486
CVE-2017-3567

*Der Fix für CVE-2016-6290 betrifft auch CVE-2016-6288, CVE-2016-6289, CVE-2016-6291, CVE-2016-6292, CVE-2016-6294, CVE-2016-6295, CVE-2016-6296 und CVE-2016-629

Weitere Informationen finden Sie hier:

Opens external link in new windowOracle Critical Patch Update Advisory - April 2017

Jede Menge Know-how für Sie!

In unserer Know-How Datenbank finden Sie mehr als 300 ausführliche Beiträge zu den Oracle-Themen wie DBA, SQL, PL/SQL, APEX und vielem mehr.
Hier erhalten Sie Antworten auf Ihre Fragen.