Oracle重要补丁更新,2009年7月,发布前分析

这是对 发行前公告 即将到来的2009年7月Oracle重要补丁更新(CPU)-

  • 总体而言,此CPU中已修复了33个安全漏洞,该漏洞数量处于先前CPU范围内的平均值(Apr-09 = 43,Jan-09 = 41,Oct-08 = 36,Jul-08 = 45,Apr- 08 = 41,Jan-08 = 26,Oct-07 = 51,Jul-07 = 45,Apr-07 = 36,Jan-07 = 51,Oct-06 = 101,Jul-06 = 62,Apr-06 = ,2006年1月6日= 80)。
  • 产品和漏洞的组合似乎与以前的CPU类似。  All 支持CPU 包括Oracle数据库,Oracle应用服务器和Oracle电子商务套件版本。 受支持的版本列表越来越短,应仔细检查以确定在应用CPU安全补丁之前是否需要升级版本-
        • 主要平台的数据库= 9.2.0.8、10.1.0.5、10.2.0.3、10.2.0.4、11.1.0.6和11.1.0.7
        • 应用程序服务器= 9.0.4.3、10.1.2和10.1.3
        • 电子商务套件= 11.5.10.x,12.0.x和12.1.x
  • 该CPU的亮点是3个可远程利用的Oracle数据库中没有身份验证漏洞. 在数据库中只有一个没有身份验证漏洞的可远程利用的情况很少,而具有三个这样的漏洞可能会使它成为重要的高优先级CPU。 这三个漏洞很可能位于侦听器,网络身份验证和网络基础组件中。
  • 此CPU没有主要版本支持更改。

甲骨文数据库

  • 有10个数据库漏洞,其中3个无需身份验证即可远程利用。 如前所述,没有身份验证漏洞的三个可远程利用的漏洞可能使其成为过去三年中最关键的季度发行之一。
  • 没有身份验证漏洞的三个可远程利用的漏洞最有可能出现在侦听器,网络身份验证和Network Foundation组件中。 这些漏洞之一具有 CVSS 9.0的2.0公制,因此使其成为非常关键的补丁。
  • 与2009年1月的CPU相似,有两个严重漏洞(一个漏洞无需身份验证即可远程利用,CVSS 2.0指标为10)。

Oracle应用服务器

  • 有两个新的Oracle应用服务器漏洞,这两个漏洞无需身份验证即可远程利用。 在以前的CPU中,大多数 Oracle应用服务器 漏洞往往无需身份验证就可以远程利用。 漏洞位于Core HTTP Server(Apache)和 Oracle安全开发人员工具. 最高的CVSS 2.0指标是5.0,表明这些风险很小。 对于基于Apache的Oracle HTTP Server,Oracle在几个月后为以前发布的Apache漏洞提供了安全修复程序。 此Core HTTP Server漏洞最有可能是对先前发布的Apache漏洞的修复。

Oracle电子商务套件11i和R12

  • 有8个新的Oracle E-Business Suite 11i和R12漏洞,其中5个无需身份验证即可远程利用。
  • 最令人感兴趣的是iSupplier Portal和iStore漏洞,对于面向Internet的实施,可能需要立即进行修补。
  • 这是第一个带有12.1补丁的CPU。

规划影响

  • 对于Oracle数据库,本季度CPU的重要性可能比以前的CPU高。 
  • 与以前的所有CPU一样,本季度的安全补丁应视为至关重要的,并且您应遵守以前的CPU所使用的既定过程和时序。

 Share this post