重要补丁程序更新,2008年1月,发布前分析

这是对 发行前公告 即将于2008年1月发布的Oracle重要补丁更新(CPU)-

  • 总体而言,此CPU已修复了27个安全漏洞,这是自2005年1月发布的原始CPU修复了25个错误以来,修复的错误数量最少(10月07 = 51、7月07 = 45、4月07 = 36, 一月 -07 = 51,Oct-06 = 101,Jul-06 = 62,Apr-06 = 34,Jan-06 = 80)。
  • 这是第一个包含针对Oracle 11g(11.1.0.6)的修复程序的CPU。
  • 产品和漏洞的组合似乎与以前的CPU类似。  All 支持CPU 包括Oracle数据库,Oracle应用服务器,Oracle Collaboration Suite和Oracle E-Business Suite版本。 受支持的版本列表越来越短,应仔细检查以确定在应用CPU安全补丁之前是否需要升级版本-
        • 数据库= 9.2.0.8、10.1.0.5、10.2.0.2和10.2.0.3、11.1.0.6
        • 应用程序服务器= 9.0.4.3、10.1.2和10.1.3
        • 电子商务套件= 11.5.9、11.5.10.x和12.0.x
  • Oracle对2007年7月的CPU制定了一项新政策,因为在没有下载CPU补丁的平台上不会主动创建补丁-CPU补丁仅应要求提供。 根据2007年10月的CPU注释(Metalink注释ID 455287.1),只有在请求2008年1月的CPU后,才能在多个平台上获得10.1.0.5的补丁程序。 2008年1月CPU的数据库注释将有一个标题为"下一个CPU版本的计划补丁"应该仔细检查以确定您的平台/版本是否为"On Request"在下一版本中进行修补。

甲骨文数据库

  • 有8个数据库漏洞,没有一个可以远程利用。
  • 至少一个数据库安全漏洞具有一个 CVSS 2.0指标6.5,对于数据库漏洞而言应视为高风险。 通常,这意味着具有有效数据库会话的任何人都可以破坏整个数据库,但无法实现对根操作系统的访问。
  • 根据2007年10月的CPU说明,仅对10.2.0.2的平台支持有限。 2008年1月的CPU仅支持10.2.0.2的以下平台:AIX 5L,HP Itanium,HP / UX,IBM zLinux,Linux x86-64,Linux Itanium和Linux on Power。 缺少的主要平台包括所有Solaris和Windows操作系统。

Oracle应用服务器

  • 尽管没有影响Oracle HTTP Server(Apache)的漏洞,但是无需身份验证就可以远程利用6个漏洞中的5个。
  • 先前公开的 Jinitiator错误 已修复,并且修复此错误的关键是从所有客户端PC删除先前的Jinitiator版本以及在应用程序服务器上升级Jinitiator。 尽可能将Jinitiator至少升级到1.3.1.29或替换为Sun Java插件。

Oracle电子商务套件11i和R12

  • 无需身份验证即可远程利用Oracle E-Business Suite的7个漏洞中的3个。 大多数漏洞都存在于OA框架等核心组件中,因此所有实现都应将其中大多数补丁视为关键。
  • 不再支持11.5.8,因此,不支持CPU。 2008年4月将是11.5.9版的最后一个CPU。

规划影响

  • 与以前的所有CPU一样,本季度的安全补丁应视为至关重要的,并且您应遵守以前的CPU所使用的既定过程和时序。

注意:释放CPU时将其删除。

 Share this post