Oracle重要补丁更新,2016年1月,电子商务套件分析

首先,2016年1月的Oracle电子商务套件(EBS)重要补丁更新(CPU)为 重大而高风险

首先,具有78个EBS安全修复程序的CPU的EBS安全修复程序数量是普通CPU的10倍。 对于自2005年以来发布的前44个CPU,EBS每季度平均修复了7.5个安全错误。 其次,存在大量SQL注入和其他高风险错误,例如能够从EBS应用程序服务器读取任意文件的功能。 第三,安全亚美涉及30多个技术和功能模块,因此,每个EBS实施都面临巨大风险。 即使您没有安装,配置或许可模块,在几乎所有情况下,仍然可以利用此亚美。最后,在面向EBS接口的自助服务模块中,至少可以轻松利用至少10个安全亚美。

整合学因发现了本季度修复的40个安全亚美而倍受赞誉。 我们还有其他与Oracle相关的安全亚美,但我们将在接下来的几个季度中予以解决。

由于影响Oracle电子商务套件 11.5.10的大量亚美,Oracle将2016年1月CPU所述的11.5.10支持策略从要求高级支持合同(ACS)更改为对所有具有有效支持合同的客户可用。 对于2016年4月至2016年10月的CPU,只有具有高级支持合同(ACS)的客户才能使用Oracle电子商务套件 11.5.10 CPU补丁。 2016年10月之后,将不再有11.5.10的CPU。

亚美明细

对安全亚美的分析显示,78个安全修复程序解决了35个SQL注入错误,17个未授权访问问题,9个跨站点脚本(XSS)错误,5个XML外部实体(XXE)错误以及各种其他安全问题和弱点。 最关键的是SQL注入错误,因为这些错误可能允许未经身份验证的Web应用程序用户以应用程序数据库帐户(APPS)的身份执行SQL。 这些SQL注入错误中的许多错误都允许访问敏感数据或执行特权功能的能力,例如更改应用程序或数据库密码,授予特权等。

同样,一些错误使未经身份验证的Web应用程序访问的攻击者可以从应用程序服务器检索任意文件。 掌握了EBS的某些知识后,就有可能使用APPS数据库密码下载文件。

EBS版本明细

在所有版本的Oracle电子商务套件中发现23个亚美。  其余部分主要针对每个版本中的不同Web架构。 以下是按EBS版本划分的78个亚美的细分-

11.5.10 12.0.x 12.1.x 12.2.x
66 38 40 22

对于11.5.10,使用mod_plsql实现的网页中存在22个亚美。 mod_plsql是Oracle特定的Web体系结构,其中Web应用程序是使用数据库PL / SQL包实现的。 从12.0开始从EBS中删除了mod_plsql。 有关缓解某些mod_plsql亚美的信息,请参阅“ EBS 11i mod_plsql缓解”下面的部分。

许多R12(12.0、12.1、12.2)特定亚美在Java Server Pages(JSP)和Java servlet中,在11i中找不到。

我已经在版本列表中包含了12.0.x,以显示即使2016年1月的CPU不支持该版本,也有相当数量的安全亚美影响该版本。

2016年1月建议

与所有重要补丁程序更新一样,解决亚美的最有效方法是及时应用补丁程序。 

面临最高风险的实施是运行面向Internet的自助服务模块(即iStore,iSupplier,iSupport等)的实施,由于无法通过身份验证可远程利用的SQL注入亚美的数量,Integrigy将此CPU评为严重风险。 。  这些实现应(1)尽快应用CPU;(2)确保根据EBS特定说明正确配置DMZ,并启用和优化EBS URL防火墙。

如果无法及时应用CPU,则应实施Integrigy的AppDefend(用于Oracle电子商务套件的应用程序防火墙)。 AppDefend提供虚拟补丁程序,可以有效地替换EBS Web安全亚美的补丁程序。

EBS 11i mod_plsql缓解

为了缓解某些mod_plsql安全亚美,所有Oracle EBS 11i环境都应考虑限制已启用的mod_plsql网页。 脚本/patch/115/sql/txkDisableModPLSQL.sql可用于限制FND_ENABLED_PLSQL中列出的允许页面。 该脚本在11i.ATG_PF.H中引入,最新版本在11i.ATG_PF.H.RUP7或2016年1月CPU中。 必须对此进行彻底的测试,因为它可能会阻止组织使用的几个mod_plsql页面。 查看Apache Web日志中的模式“ / pls /”,以查看正在积极使用哪些mod_plsql页面。 此修复程序作为2016年1月CPU的一部分包含在内并实现。

 Share this post

订阅RSS

将我们添加到您最喜欢的新闻阅读器中。

在Twitter上关注

获取最新更新。