重要补丁程序更新,2007年10月,发布前分析

这是对 发行前公告 即将于2007年10月发布的Oracle重要补丁更新(CPU)-

  • 总体而言,此CPU中修复了51个安全漏洞,该漏洞低于平均水平,但在以前的CPU范围内(7月07 = 45、4月07 = 36、1月07 = 51、10月06 = 101、7月- 06 = 62,Apr-06 = 34,Jan-06 = 80)。
  • 产品和漏洞的组合类似于以前的CPU。  All 支持CPU 包括Oracle数据库,Oracle应用服务器和Oracle电子商务套件版本。 Oracle Collaboration Suite中没有新的漏洞。 受支持的版本列表越来越短,应仔细检查以确定在应用CPU安全补丁之前是否需要升级版本-
        • 数据库= 9.2.0.8、10.1.0.5、10.2.0.2和10.2.0.3
        • 应用程序服务器= 9.0.4.3、10.1.2和10.1.3
        • 电子商务套件= 11.5.8、11.5.9、11.5.10.x和12.0.x
  • Oracle对2007年7月的CPU制定了一项新政策,因为没有下载CPU补丁的平台将不会主动开发补丁。 CPU修补程序仅应要求提供。 幸运的是,根据2007年7月的CPU说明(Metalink说明ID 432873.1),所有受支持的平台/版本组合都将主动发布针对2007年10月CPU的补丁​​程序。 2007年10月CPU的数据库注释将有一个标题为"下一个CPU版本的计划补丁"应该仔细检查以确定您的平台/版本是否为"On Request"在下一版本中进行修补。
  • 这是第一个使用2.0版的CPU CVSS 指标。 CVSS 2.0评分似乎更加一致,但仍然严重低估了许多数据库和应用程序漏洞的严重性。 即使是一个漏洞也可能完全破坏数据库,其分数也小于7。

甲骨文数据库

  • 有5个没有身份验证漏洞的可远程利用,这不是以前的数据库漏洞的典型特征。 以前的大多数数据库漏洞都需要数据库身份验证才能利用。  根据5个没有身份验证漏洞的可远程利用的确切性质,该季度的CPU可能被证明是过去两年中最关键的CPU。
  • 至少一个数据库安全漏洞具有一个 CVSS 2.0指标6.5,对于数据库漏洞而言应视为高风险。
  • 本季度主要版本支持更改是不再支持9.2.0.7。

Oracle应用服务器

  • 无需身份验证即可远程利用11个漏洞中的7个。 其中许多漏洞可能与最近修复的Apache有关,后者是Oracle HTTP Server的基础。 面向Internet的应用服务器部署的组织最有可能希望优先考虑本季度的CPU补丁,因为Oracle HTTP Server,Oracle Single Sign-on和Oracle Portal都会受到影响。
  • 本季度对支持的Oracle应用服务器版本没有重大更改。

Oracle电子商务套件11i和R12

  • 无需身份验证就可以远程利用Oracle E-Business Suite 8个漏洞中的1个。 
  • 包括所有受支持的版本(11.5.8至11.5.10 CU2和12.0.0至12.0.3)。 这将是11.5.8的最后一个CPU。

规划影响

  • 与以前的所有CPU一样,本季度的安全补丁应视为至关重要的,并且您应遵守以前的CPU所使用的既定过程和时序。

注意:释放CPU时,将删除预发布公告。

 Share this post