Oracle Tricon Patch更新2008年7月预发布分析

这是对...的简要分析预先释放公告对于即将到来的2008年7月Oracle关键补丁更新(CPU) -

  • 总体而言,在本CPU中,45个安全漏洞是固定的,这是在以前的CPU范围内的平均数字(APR-08 = 41,Jan-08 = 26,Oct-07 = 51,Jul-07 = 45,APR- 07 = 36,Jan-07 = 51,OCT-06 = 101,Jul-06 = 62,APR-06 = 34,Jan-06 = 80)。
  • 这是第一个包含用于BEA WebLogic,HyperionBIB和Timesten数据库的修复的CPU。
  • 产品和漏洞组合似乎类似于以前的CPU。  All CPU支持包括Oracle数据库,Oracle Application Server.和Oracle E-Business Suite版本。 支持的版本列表越来越短,应仔细审查以确定应用CPU安全补丁之前是否需要版本升级 -
        • 数据库= 9.2.0.8,10.1.0.5,10.2.0.3,10.2.0.4和11.1.0.6用于主要平台
        • 应用程序服务器= 9.0.4.3,10.1.2和10.1.3
        • E-Business Suite = 11.5.10.x和12.0.x
  • 2008年7月的主要CPU版本支持更改是 -
      • 数据库版本10.2.0.4包含在受影响的版本列表中
      • CPU不再支持Oracle E-Business Suite 11i版本11.5.9

Oracle数据库

  • 有11个数据库漏洞,没有身份验证的无需验证,无需验证,这与以前的CPU一致。 通常,绝大多数数据库漏洞都需要身份验证。 但是,很可能是这些漏洞的一部分,只能使用所有数据库帐户访问的公共特权来利用。
  • 大多数兴趣的漏洞都在核心RDBMS和身份验证组件中,但数据库调度程序漏洞可能很有趣。
  • 至少有一个数据库安全漏洞有一个CVSS.2.0度量标准6.5,用于数据库漏洞应被视为高风险。 这通常意味着具有有效数据库会话的任何人都能够危及整个数据库,但无法实现根操作系统访问。
  • 由积分发现的2个Oracle 11g漏洞是低风险,并且不直接利用,但可能允许验证安全性错误配置未检测到。

Oracle Application Server.

  • 有9个新的Oracle Application Server.漏洞,所有内容都在无需身份验证的情况下远程可利用。 在以前的CPU中,大多数Oracle Application Server.漏洞往往会在没有身份验证的情况下远程可利用。 该漏洞位于HyperionBi Plus,Oracle HTTP Server,Oracle Internet目录和Oracle Portal。
  • Oracle HTTP Server漏洞可能与最近的Apache HTTP服务器和OpenSSL修复有关。
  • Oracle Portal漏洞可能与CVE-2008-2138相关,这是Oracle门户网站组件中的访问限制旁路问题。

Oracle E-Business Suite 11i和R12

  • 有6个新的Oracle E-Business Suite 11i和R12漏洞,无需身份验证即可远程利用。 但是,由于istore允许客户自我登记,最有可能istore漏洞(或漏洞)可以通过非特权用户轻松地利用。
  • 对于Oracle E-Business Suite 11i,CPU现在仅支持11.5.10.x,并要求安装ATG_PF.H RUP 5或RUP 6。
  • Integy发现的2个Oracle E-Business Suite 11i / R12漏洞是低风险,并且在Oracle应用程序对象库(AOL / FND)中。

规划影响

  • 与以前的所有CPU一样,本季度的安全补丁应被视为至关重要,您应该遵守以前CPU的既定程序和时间。

更正:已编辑此帖子以更新支持的Oracle E-Business Suite 11i版本。 原始Oracle预发布和咨询的Rev1不正确只表示支持11.5.10.2 - 11.5.10和11.5.10.1仍然支持。

 Share this post