Oracle重要补丁程序更新,2010年1月,发布前分析

这是对 发行前公告 即将到来的2010年1月Oracle重要补丁更新(CPU)-

  • 总体而言,此CPU已修复了24个安全漏洞,虽然该漏洞数量低于平均水平,但仍在以前的CPU范围内(10月09日= 38、7月09日= 30、4月09日= 43、1月09日= 41,十月-08 = 36,七月-08 = 45,四月-08 = 41,一月-08 = 26,十月07 = 51,七月07 = 45,四月-07 = 36,一月-07 = 51,十月- 06 = 101,Jul-06 = 62,Apr-06 = 34,Jan-06 = 80)。
  • 产品和漏洞的组合似乎与以前的CPU类似。  All 支持CPU 包括Oracle数据库,Oracle应用服务器和Oracle电子商务套件版本。 受支持的版本列表越来越短,应仔细检查以确定在应用CPU安全补丁之前是否需要升级版本-
        • 主要平台的数据库= 9.2.0.8、10.1.0.5、10.2.0.3、10.2.0.4和11.1.0.7
        • 应用程序服务器= 9.0.4.3、10.1.2和10.1.3
        • 电子商务套件= 11.5.10.x,12.0.x和12.1.x
  • 该CPU的亮点是2可远程利用,而Oracle数据库中没有身份验证漏洞. 在数据库中只有一个没有身份验证漏洞的可远程利用的情况很少。 这两个漏洞很可能位于侦听器,APEX应用程序生成器和/或安全备份中。 如果侦听器组件中存在可远程利用的漏洞,则这可能是一个重要的高优先级CPU。
  • 此CPU没有主要版本支持更改。

甲骨文数据库

  • 有10个数据库漏洞,其中两个无需身份验证即可远程利用。
  • 由于至少一个数据库漏洞具有 CVSS 2.0指标为10.0,这很明显表明侦听器组件中存在缓冲区溢出,无需身份验证即可远程利用。 Windows的CVSS指标很可能为10.0,而Unix / Linux的CVSS指标为7.5(即使您可以完全破坏数据库)。

Oracle应用服务器

  • 有三个新的Oracle应用服务器漏洞,所有这些漏洞无需身份验证即可远程利用。 受影响的组件是Access Manager标识服务器和J2EE的Oracle容器。  With maximum CVSS 2.0指标为5.0,这些可能是基于评分和组件的跨站点脚本(XSS)漏洞。

Oracle电子商务套件11i和R12

  • 有3个新的Oracle E-Business Suite 11i和R12漏洞,所有这些漏洞无需身份验证即可远程利用。
  • 漏洞位于CRM技术基础(移动),AOL和HRMS中。 如果AOL漏洞位于外部可访问的网页中,则将是最令人感兴趣的。

规划影响

  • 本季度CPU的重要性与以前的CPU一致。 
  • 与以前的所有CPU一样,本季度的安全补丁应视为至关重要的,并且您应遵守以前的CPU所使用的既定过程和时序。

 Share this post