Oracle重要补丁更新,2009年1月,发布前分析

这是对 发行前公告 即将到来的2009年1月Oracle重要补丁更新(CPU)-

  • 总体而言,此CPU中已修复了41个安全漏洞,此漏洞的平均值在以前的CPU范围内(十月-08 = 36,七月-08 = 45,四月-08 = 41,一月-08 = 26,十月- 07 = 51,Jul-07 = 45,Apr-07 = 36,Jan-07 = 51,Oct-06 = 101,Jul-06 = 62,Apr-06 = 34,Jan-06 = 80)。
  • 产品和漏洞的组合似乎与以前的CPU类似。  All 支持CPU 包括Oracle数据库,Oracle应用服务器和Oracle电子商务套件版本。 受支持的版本列表越来越短,应仔细检查以确定在应用CPU安全补丁之前是否需要升级版本-
        • 主要平台的数据库= 9.2.0.8、10.1.0.5、10.2.0.3、10.2.0.4和11.1.0.6
        • 应用程序服务器= 9.0.4.3、10.1.2和10.1.3
        • 电子商务套件= 11.5.10.x和12.0.x
  • 该CPU的亮点是9个可远程利用,而Oracle Secure Backup中没有身份验证漏洞。 所有运行Oracle Secure Backup的客户都需要仔细评估这些漏洞的影响。
  • 此CPU没有主要版本支持更改。 重要的是要注意,这将是数据库版本10.2.0.2和10.2.0.3。的最后一个CPU。

甲骨文数据库

  • 有10个数据库漏洞,没有身份验证就不能远程利用,这与以前的CPU一致。 通常,绝大多数数据库漏洞都需要身份验证。 但是,很可能仅使用可被所有数据库帐户访问的PUBLIC特权来利用这些漏洞的一部分。
  • 最受关注的漏洞是"Job Queue"组件,因为此组件以前没有漏洞。
  • 至少一个数据库安全漏洞具有一个 CVSS 5.5的2.0度量标准,应将其用于数据库漏洞应视为数据库漏洞的中度至高风险。 通常,这意味着具有有效数据库会话的任何人都可以破坏整个数据库,但无法实现对根操作系统的访问。
  • SQL * Plus Windows GUI(sqlplusw)客户端安装中有2个漏洞。 以前,这些客户端类型是传递的参数或环境变量中的缓冲区溢出。

Oracle应用服务器

  • 有4个新的Oracle应用服务器漏洞,其中2个无需身份验证即可远程利用。 在以前的CPU中,大多数Oracle应用服务器漏洞往往无需身份验证就可以远程利用。 漏洞存在于OC4J,Oracle BPEL流程管理器,Oracle JDeveloper和Oracle Portal中。

Oracle电子商务套件11i和R12

  • 有4个新的Oracle E-Business Suite 11i和R12漏洞,没有身份验证就不能远程利用这些漏洞。 通过诸如iStore或iRecruitment之类的模块,可以使用任何应用程序帐户或通用帐户来利用一个Oracle应用程序框架。

规划影响

  • 与以前的所有CPU一样,本季度的安全补丁应视为至关重要的,并且您应遵守以前的CPU所使用的既定过程和时序。

 Share this post