亚美关键补丁更新2006年10月发布

亚美已发布2006年10月的关键补丁更新(CPU)。 101所有亚美产品的新漏洞都在此CPU中修复,其中45个是远程可利用的。 与以前的CPU相比,总数高,但包括类似数量的数据库和应用程序服务器漏洞。 Spike是由于亚美 Application Express中的35个漏洞(以前的HTMLDB)。

初步分析显示,除了亚美 Application Express漏洞外,修补的漏洞与以前的CPU类似,没有任何值得注意的。 最令人不安的是亚美需要每季度修复亚美数据库中的10-30个漏洞。 新漏洞的数量和报告的未分割漏洞似乎并不萎缩。

它出现,但我们尚未确认,OHS01是mod_rewrite漏洞( CVE-2006-3747. )在7月份报告和修复了Apache。 如果您使用的是mod_rewrite,您可能需要查看 配置条件 这种漏洞是可利用的。

对于亚美数据库,相同的数据库版本被支持为2006年7月CPU,9.2.0.8或10.2.0.3所需的修补程序。 [更正:亚美在19-Oct-06中添加了一个补丁,在11月中旬将可用9.2.0.8。]

对于亚美 Application Server,CPU补丁不适用于1.0.2.2作为独立产品,10.1.4.0.1不需要修补程序。

对于亚美 E-Business Suite 11i,正如我以前的那样 讨论了 ,主要变化是ATG RUP3或RUP4需要安装2006年10月份的CPU补丁中的任何一个。

应用亚美 Application Express(HTMLDB)的所有客户都应该快速评估这些新漏洞可能对其应用程序的影响,尤其是通过互联网访问的影响。

没有新的亚美 Collaboration Suite(OCS)漏洞。

没有新的亚美 Enterprise Manager(OEM)漏洞。

虽然OCS和OEM受数据库和/或应用程序服务器漏洞的影响。

使用此CPU,亚美介绍了多个文档更改。 最微妙(和未经宣布)是亚美实际上在文档的顶部显然发布了新漏洞(101)的总数 - 这将消除与以前CPU的新闻报道中看到的错误。 新的执行摘要非常高,并没有提供有关漏洞的真实细节。 包含CVSS矩阵和基本分数确实提供了一种更标准的方法来识别每个漏洞的风险。

我们正在努力对亚美 E-Business Suite的影响分析,并在第二天左右提供它。

历史:
17-OCT-06 - 初始版本
26-OCT-06- 11月中旬有关9.2.0.8贴片的信息

 Share this post