Oracle重要补丁更新文档改进

Oracle全球产品安全团队 已经宣布 对Oracle季度关键补丁更新(CPU)文档的一些新更改。在试图确定每个CPU的优先级并确定其影响时,组织面临着巨大的挑战,尤其是在必须应用多个补丁的复杂应用程序环境(例如Oracle Applications 11i)中。 对CPU文档的新更改旨在提供其他信息,以帮助组织确定CPU补丁的优先级。 这些增强功能可能会让一些Oracle评论家满意,但大多数人正在寻找有关每个漏洞的更详细信息。

2006年10月的CPU有三项增强功能-

  1. 高阶执行层摘要 -这将很有趣,因为Oracle希望它适用于 "执行管理和其他非IT部门。" 由于每个CPU中存在大量漏洞,因此很难提供很多细节。该摘要很可能仅突出显示最关键的漏洞。
  2. 突出显示了可远程利用的漏洞 -可以通过仔细分析CPU风险矩阵来确定这些漏洞,但现在将对其进行清晰标记。 我不确定这有多大的不同,这有几个原因-(1)很少有Oracle数据库安全性漏洞可远程利用(通常与SQL * Net相关),几乎总是需要身份验证才能利用此漏洞,(2 )许多Oracle应用服务器错误可以远程利用,并且(3)数据库和应用服务器补丁都包含在内,因此不可能修补单个漏洞。 对于单个的Oracle E-Business Suite补丁程序,这将是最重要的。
  3. 通用漏洞评分系统(CVSS) 基本指标组 为每个漏洞评分 -CVSS是尝试"standardize"漏洞严重性的定义。 我不确定组织将如何使用CVSS评分(例如,如果我们修补的是3.0或更高版本)。 看看CVSS分数的有用性以及组织如何使用它们将会很有趣。 一个不错的计算器可用 这里 看分数示例。 您可以使用计算器确定"Environmental Metric" and "Temporal Metric"为您的环境。

我发现文档增强功能存在一些潜在的问题-

  • 主要重点放在可远程利用的漏洞上。 由于所需的复杂性和工作量,DBA正在寻找任何借口来延迟或不使用CPU,因此,DBA可能不需要推迟该季度的安全补丁来解决CPU中的远程可利用漏洞。 通过强调可远程利用的漏洞,可以减少每个CPU严重性的总体。 由于所有Oracle数据库都应受到Internet防火墙的保护,因此最主要的威胁来自内部用户,他们很可能拥有数据库帐户,或者可能能够通过应用程序代理帐户访问数据库(即,认为APPLSYSPUB ​​for Oracle应用程序11i)。 同样,SQL注入是Oracle数据库的常见攻击媒介。
  • CVSS指标的权重较大"不需要身份验证"并分别权衡机密性,完整性和可用性的影响。 因此,与以上对远程利用漏洞的强调一样,一些漏洞将获得更高的分数和重点。 通过计算2006年7月CPU的某些分数,我看不出这些分数会立即帮助您确定CPU补丁的优先级。 它们很不错,可以为高级管理人员提供一个指标,并且在与其他供应商补丁程序(例如Microsoft)进行比较时可能会很有用,但是我认为分数不会影响补丁程序的决策或流程。
  • Oracle E-Business Suite 11i补丁程序未链接到CPU文档中的特定漏洞,因此CVSS度量标准信息对这些补丁程序没有用。 希望Oracle将提供映射,以便客户实际上可以优先考虑这些补丁。
  • Oracle对CPU的立场是您需要尽快应用所有补丁。 我看不到这种变化,因此,CPU文档的偏向将转向漏洞的严重性和补丁程序的需求。 仅当Oracle由于严重性而建议客户优先考虑特定的补丁程序时(例如,立即应用Application Server补丁程序,然后在下一次停机期间应用数据库补丁程序),这些信息中的任何一个都是有用的。 在复杂的应用程序环境中,例如Oracle Applications 11i,很难进行回归测试并立即应用所有补丁。

总体而言,对CPU文档的更改只会给大多数组织带来次要的好处。 这些增强功能可以帮助中级管理人员更好地向高级主管出售及时使用CPU的需求。 希望随着Oracle改进CPU流程和文档,Integrigy不再需要发布我们自己的 分析 每个CPU。

 Share this post