Oracle Tricon Patch更新2009年7月预发布分析

这是对...的简要分析预发布公告 对于即将到来的2009年7月Oracle关键补丁更新(CPU) -

  • 总体而言,在此CPU中修复了33个安全漏洞,这是在以前的CPU范围内的平均号码(APR-09 = 43,Jan-09 = 41,Oct-08 = 36,Jul-08 = 45,APR- 08 = 41,Jan-08 = 26,OCT-07 = 51,Jul-07 = 45,APR-07 = 36,Jan-07 = 51,OCT-06 = 101,Jul-06 = 62,APR-06 = 34,Jan-06 = 80)。
  • 产品和漏洞组合似乎类似于以前的CPU。  All CPU支持 包括Oracle数据库,Oracle Application Server.和Oracle E-Business Suite版本。 支持的版本列表越来越短,应仔细审查以确定应用CPU安全补丁之前是否需要版本升级 -
        • 数据库= 9.2.0.8,10.1.0.5,10.2.0.3,10.2.0.4,11.0.6和11.1.0.7用于主要平台
        • 应用程序服务器= 9.0.4.3,10.1.2和10.1.3
        • E-Business Suite = 11.5.10.x,12.0.x和12.1.x
  • 此CPU的突出显示在Oracle数据库中没有身份验证漏洞的3个远程可轻松. 在数据库中没有身份验证漏洞,并且具有三种此类漏洞是很少的远程可在漏洞中进行可轻松解放的可轻松解放力,可以使这是一个重要而高的优先级的CPU。 最有可能这3个漏洞位于倾听者,网络认证和网络基础组件中。
  • 此CPU没有主要版本的支持更改。

Oracle数据库

  • 有10个数据库漏洞,三个无需身份验证即可远程可利用。 如前所述,在没有身份验证漏洞的情况下,这三个远程可利用可能会使这一季度季度最关键的季度发布之一。
  • 没有身份验证漏洞的三个远程可利用的可在侦听器,网络认证和网络基础组件中最有可能。 其中一个漏洞有一个 CVSS. 2.0度量为9.0,从而使这成为一个非常关键的补丁。
  • 类似于2009年1月CPU,有两个关键漏洞(一个远程可利用的无需身份验证和CVSS 2.0度量为10)。

Oracle Application Server.

  • 有两个新的Oracle Application Server.漏洞,两者都在无需身份验证的情况下远程利用。 在以前的CPU中,大多数Oracle Application Server.漏洞往往会在没有身份验证的情况下远程可利用。 漏洞位于核心HTTP服务器(Apache)和Oracle安全开发人员工具. 最高的CVSS 2.0度量是5.0,表明这些风险有限。 对于基于Apache的Oracle HTTP服务器,Oracle为先前发布的Apache漏洞提供安全修复,以后几个月稍后。 最有可能此核心HTTP服务器漏洞是先前发布的Apache漏洞的修复程序。

Oracle E-Business Suite 11i和R12

  • 有8个新的Oracle E-Business Suite 11i和R12漏洞,五个无需身份验证即可远程可利用。
  • 大多数兴趣是ISupplier门户和istore漏洞,可能需要立即修补互联网的实现。
  • 这是第一个具有12.1的补丁的CPU。

规划影响

  • 对于Oracle数据库而言,本季度CPU的临界性比以前的CPU可能更高。 
  • 与以前的所有CPU一样,本季度的安全补丁应被视为至关重要,您应该遵守以前CPU的既定程序和时间。

 Share this post