Oracle Tricon Patch更新1月2010预发布分析

这是对...的简要分析 预发布公告 即将到来的2010年1月Oracle关键补丁更新(CPU) -

  • 总的来说,在此CPU中修复了24个安全漏洞,该漏洞是低于平均数,但在以前的CPU范围内(10月9日= 38,Jul-09 = 30,APR-09 = 43,Jan-09 = 41, OCT-08 = 36,Jul-08 = 45,APR-08 = 41,Jan-08 = 26,OCT-07 = 51,Jul-07 = 45,APR-07 = 36,Jan-07 = 51,OCT- 06 = 101,JUL-06 = 62,APR-06 = 34,JAN-06 = 80)。
  • 产品和漏洞组合似乎类似于以前的CPU。  All CPU支持 包括Oracle数据库,Oracle Application Server.和Oracle E-Business Suite版本。 支持的版本列表越来越短,应仔细审查以确定应用CPU安全补丁之前是否需要版本升级 -
        • 数据库= 9.2.0.8,10.1.0.5,10.2.0.3,10.2.0.4和11.1.0.7用于主要平台
        • 应用程序服务器= 9.0.4.3,10.1.2和10.1.3
        • E-Business Suite = 11.5.10.x,12.0.x和12.1.x
  • 此CPU的亮点是2在Oracle数据库中没有身份验证漏洞的远程可轻松. 在数据库中没有身份验证漏洞,在没有身份验证漏洞的情况下具有单一远程可轻松性。 最有可能这两个漏洞位于侦听器,APEX Application Builder和/或安全备份中。 如果远程可利用的漏洞位于侦听器组件中,那么这可能是一个重要而高的优先级CPU。
  • 此CPU没有主要版本的支持更改。

Oracle数据库

  • 有10个数据库漏洞,两个都远程可在没有身份验证的情况下进行。
  • 由于至少一个数据库漏洞有一个 CVSS. 2.0度量标准10.0,这是一个强烈的指示,在没有身份验证的情况下远程可利用的侦听器组件中的缓冲区溢出。 最有可能的是,Windows的CVSS度量标准将是10.0,并且对于UNIX / Linux将为7.5(即使您将能够完全妥协数据库)。

Oracle Application Server.

  • 有三种新的Oracle应用程序服务器漏洞,所有这些都在无需身份验证的情况下远程可利用。 受影响的组件是Access Manager识别J2EE的服务器和Oracle容器。  With maximum CVSS. 2.0度量标准5.0,这些可能是基于分数和组件的跨站点脚本(XSS)漏洞。

Oracle E-Business Suite 11i和R12

  • 有3个新的Oracle E-Business Suite 11i和R12漏洞,所有这些都是在没有身份验证的情况下远程可利用。
  • 该漏洞位于CRM技术基础(移动),AOL和HRMS中。 如果AOL漏洞是在外部可访问的网页中,大多数利益将是。

规划影响

  • 本季度CPU的关键性与以前的CPU一致。 
  • 与以前的所有CPU一样,本季度的安全补丁应被视为至关重要,您应该遵守以前CPU的既定程序和时间。

 Share this post