关键补丁更新2007年7月预发布分析

这是对...的简要分析 预发布公告 对于即将到来的2007年7月至关重要的补丁更新(亚美) -

  • 总体而言,在此亚美中固定了46个安全漏洞,该亚美低于平均值,但在以前的亚美范围内(APR-07 = 36,Jan-07 = 51,Oct-06 = 101,Jul-06 = 62,APR- 06 = 34,Jan-06 = 80)。
  • 产品和漏洞组合与以前的亚美类似,具有oracle应用程序快递(apex)的显着添加。 包括所有受支持的Oracle数据库,Oracle Application Server.和Oracle E-Business Suite版本。 Oracle Enterprise Manager中没有新的漏洞。
  • Oracle在该平台中与2007年7月的亚美提供了一个新的政策,其中包含亚美补丁的几个平台,不会积极开发修补程序。 亚美修补程序只会根据要求提供。 幸运的是,根据2007年4月的亚美注(Metalink Note ID 420061.1),所有支持的平台/版本组合将在2007年7月亚美中积极发布补丁。 2007年7月亚美的数据库注释将有一个标题部分"下一个亚美释放的计划补丁"应该仔细审查,以确定您的平台/版本是否为"On Request"补丁在下一个版本中。

Oracle数据库

  • 有两种易于利用,远程可利用和身份验证,而不是必需的漏洞,这不是先前数据库漏洞的典型信息。 大多数以前的数据库漏洞都需要数据库身份验证来利用。
  • 至少有一个数据库安全漏洞有一个 CVSS. 4.2的度量标准,用于数据库漏洞应被视为高风险。
  • 主要版本支持更改是任何平台都不支持10.1.0.4和10.2.0.1。

Oracle Application Server.

  • Oracle JDeveloper,Oracle Internet目录和Oracle单签名中存在安全漏洞。 运行OID或SSO的外部应用程序服务器应优先考虑,因为这些漏洞中的3个无需身份验证即可远程可利用。 虽然,最高的CSS度量标准为2.3,用于这些漏洞,表明它们很可能是跨站点脚本(XSS)或拒绝服务(DOS)漏洞。
  • 最近发布的(6月底)必须修补10.1.3.3.0版。

Oracle E-Business Suite 11i和R12

  • 有六种易于利用,远程可利用和身份验证,而不是必需的漏洞。  这些安全错误中的一些最可能存在于AOL,IRECRuitment,Configurator和/或IExdense中,这将需要立即修补。
  • 11.5.7在2007年5月,亚美不支持亚美。
  • 包括所有支持的版本(11.5.8至11.5.10 CU2和12.0.0至12.0.1)。

规划影响

  • 与以前的所有亚美一样,本季度的安全补丁应被视为至关重要,您应该遵守以前亚美的既定程序和时间。
  • 运行iRecuitment或Configurator的客户应考虑尽快应用这些补丁。

注意:释放亚美时,将删除预发布通知。

 Share this post