重要补丁程序更新,2007年7月,发布前分析

这是对 发行前公告 即将于2007年7月发布的重要补丁更新(CPU)-

  • 总体而言,此CPU中已修复了46个安全亚美,该亚美低于平均水平,但在以前的CPU范围内(4月07 = 36、1月07 = 51、10月06 = 101、7月06 = 62、4月- 06 = 34,Jan-06 = 80)。
  • 产品和亚美的组合与以前的CPU类似,但明显增加了Oracle Application Express(APEX)。 包括所有受支持的Oracle数据库,Oracle应用服务器和Oracle电子商务套件版本。 Oracle Enterprise Manager中没有新的亚美。
  • Oracle正在针对2007年7月的CPU制定一项新政策,因为没有下载CPU补丁的平台将不会主动开发补丁。 CPU修补程序仅应要求提供。 幸运的是,根据2007年4月的CPU说明(Metalink说明ID 420061.1),所有受支持的平台/版本组合都将主动发布针对2007年7月CPU的补丁​​程序。 2007年7月CPU的数据库注释将有一个标题为"下一个CPU版本的计划补丁"应该仔细检查以确定您的平台/版本是否为"On Request"在下一版本中进行修补。

甲骨文数据库

  • 有两个易于利用,可远程利用和不需要身份验证的亚美,这是以前的数据库亚美所不具有的。 以前的大多数数据库亚美都需要数据库身份验证才能利用。
  • 至少一个数据库安全亚美具有一个 CVSS 指标4.2,它对于数据库亚美应被认为是高风险。
  • 支持的主要版本更改是在任何平台上均不支持10.1.0.4和10.2.0.1。

Oracle应用服务器

  • Oracle JDeveloper,Oracle Internet Directory和Oracle Single-Signon中存在安全亚美。 应优先考虑运行OID或SSO的外部应用程序服务器,因为其中三个亚美无需身份验证即可远程利用。 虽然,这些亚美的最高CSS指标是2.3,指示它们最有可能是跨站点脚本(XSS)或拒绝服务(DoS)亚美。
  • 必须修补最近发布的(六月末)版本10.1.3.3.0。

Oracle电子商务套件11i和R12

  • 有六个易于利用,可远程利用以及不需要身份验证的亚美。  其中一些安全亚美很可能存在于AOL,iRecruitment,Configurator和/或iExpense中,这些亚美需要立即修补。
  • 由于2007年5月高级支持终止,因此CPU不支持11.5.7。
  • 包括所有受支持的版本(11.5.8至11.5.10 CU2和12.0.0至12.0.1)。

规划影响

  • 与以前的所有CPU一样,本季度的安全补丁应视为至关重要的,并且您应遵守以前的CPU所使用的既定过程和时序。
  • 运行iRecruitment或Configurator的客户应考虑尽快应用这些补丁。

注意:释放CPU时,将删除预发布公告。

 Share this post