Oracle重要补丁更新,2008年7月,发布前分析

这是对 预发行 公告 即将于2008年7月发布的Oracle重要补丁更新(CPU)-

  • 总体而言,此CPU中已修复了45个安全漏洞,该漏洞的平均值在以前的CPU范围内(Apr-08 = 41,Jan-08 = 26,Oct-07 = 51,Jul-07 = 45,Apr- 07 = 36,Jan-07 = 51,Oct-06 = 101,Jul-06 = 62,Apr-06 = 34,Jan-06 = 80)。
  • 这是第一个包含针对BEA WebLogic,Hyperion BI和TimesTen数据库的修复程序的CPU。
  • 产品和漏洞的组合似乎与以前的CPU类似。  All 支持CPU 包括Oracle数据库,Oracle应用服务器和Oracle电子商务套件版本。 受支持的版本列表越来越短,应仔细检查以确定在应用CPU安全补丁之前是否需要升级版本-
        • 主要平台的数据库= 9.2.0.8、10.1.0.5、10.2.0.3、10.2.0.4和11.1.0.6
        • 应用程序服务器= 9.0.4.3、10.1.2和10.1.3
        • 电子商务套件= 11.5.10.x和12.0.x
  • 2008年7月主要的CPU版本支持更改为-
      • 受影响的版本列表中包含数据库版本10.2.0.4
      • CPU不再支持Oracle E-Business Suite 11i 11.5.9版

甲骨文数据库

  • 有11个数据库漏洞,没有身份验证就不能远程利用,这与以前的CPU一致。 通常,绝大多数数据库漏洞都需要身份验证。 但是,很可能仅使用可被所有数据库帐户访问的PUBLIC特权来利用这些漏洞的一部分。
  • 最受关注的漏洞在Core RDBMS和Authentication组件中,但是Database Scheduler漏洞可能很有趣。
  • 至少一个数据库安全漏洞具有一个 CVSS 2.0指标6.5,对于数据库漏洞而言应视为高风险。 通常,这意味着具有有效数据库会话的任何人都可以破坏整个数据库,但无法实现对根操作系统的访问。
  • 整合学发现的2个Oracle 11g漏洞风险低,不能直接利用,但可能会使身份验证安全性错误配置无法被发现。

Oracle应用服务器

  • 有9个新的Oracle应用服务器漏洞,所有这些漏洞无需身份验证即可远程利用。 在以前的CPU中,大多数Oracle应用服务器漏洞往往无需身份验证就可以远程利用。 这些漏洞位于Hyperion BI Plus,Oracle HTTP Server,Oracle Internet Directory和Oracle Portal中。
  • Oracle HTTP Server漏洞可能与最新的Apache HTTP Server和OpenSSL修复程序有关。
  • Oracle Portal漏洞可能与CVE-2008-2138有关,CVE-2008-2138是Oracle Portal的WebDav组件中的访问限制旁路问题。

Oracle电子商务套件11i和R12

  • 有6个新的Oracle E-Business Suite 11i和R12漏洞,没有身份验证就不能远程利用这些漏洞。 但是,由于iStore允许客户进行自我注册,因此最有可能由没有特权的用户利用iStore漏洞(或漏洞)。
  • 对于Oracle E-Business Suite 11i,CPU现在仅支持11.5.10.x,并且需要安装ATG_PF.H RUP 5或RUP 6。
  • 整合学发现的2个Oracle E-Business Suite 11i / R12漏洞风险低,位于Oracle应用程序对象库(AOL / FND)中。

规划影响

  • 与以前的所有CPU一样,本季度的安全补丁应视为至关重要的,并且您应遵守以前的CPU所使用的既定过程和时序。

更正:该帖子已编辑,以更新受支持的Oracle E-Business Suite 11i版本。 原始的Oracle预发行版和通报的Rev1错误地指出仅支持11.5.10.2-仍支持11.5.10和11.5.10.1。

 Share this post