Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (19.01.22):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
Informationen auszuspähen sowie Cross-Site-Scripting (XSS)-Angriffe und
einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien
erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines
Benutzers oder können Einfluss auf andere Komponenten haben.

Oracle veröffentlicht anlässlich des Patchtags im Januar 2022
Sicherheitsupdates für die unterstützten Oracle Database Server Versionen
12.1.0.2, 12.2.0.1, 19c und 21c sowie Oracle Application Express in Version
21.1.4 zur Behebung der Schwachstellen. Version 12.2.0.1 wird nur noch bis
März 2022 unterstützt und erfährt danach keinen “Extended Support” (ES).
Benutzern von Version 12.2.0.1 oder 18c wird geraten, auf Version 19c (Long
Term Release) zu aktualisieren.

Oracle gibt weiterhin bekannt, dass mit den Sicherheitsupdates zusätzlich
auch die in den Oracle Database Server Versionen nicht ausnutzbaren
Schwachstellen CVE-2021-36090, CVE-2021-35515, CVE-2021-35516,
CVE-2021-35517 in Oracle Database Configuration Assistant, CVE-2021-45105
in Oracle Spatial and Graph und Trace file analyzer sowie CVE-2020-8908,
CVE-2021-28165, CVE-2021-28169 und CVE-2021-34428 in Workload Manager
behoben werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2022-0125]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html