Oracle重要补丁更新,2011年7月,发布前分析

这是对 发行前公告 即将到来的2011年7月Oracle重要补丁更新(CPU)-

  • 总体而言,此CPU中已修复了55个Oracle安全漏洞(非Solaris错误),该数量高于平均水平,但在以前的CPU范围内(4月11日= 47,1月11日= 43,10月10日= 50) ,7月10 = 38,4月10 = 31,1月10 = 24,10月09 = 38,7月09 = 30,4月09 = 43,1月09 = 41,10月08 = 36 -08 = 45,Apr-08 = 41,Jan-08 = 26,Oct-07 = 51,Jul-07 = 45,Apr-07 = 36,Jan-07 = 51,Oct-06 = 101,Jul-06 = 62,2006年4月6日= 34,1月6日= 80)。 这些数字已针对Oracle产品标准化,不包括任何Sun产品。
  • Oracle产品和漏洞的组合似乎与以前的CPU类似,唯一的例外是本季度修复了许多Oracle Grid Control漏洞。  All 支持CPU 包括Oracle数据库和Oracle电子商务套件版本。 受支持的版本列表越来越短,应仔细检查以确定在应用CPU安全补丁之前是否需要升级版本-
        • 主要平台的数据库= 10.1.0.5、10.2.0.4、10.2.0.5、11.1.0.7、11.2.0.1、11.2.0.2
        • 应用程序服务器= 10.1.2.3.0、10.1.3.5.0、11.1.1.3.0、11.1.1.4.0和11.1.1.5.0
        • 电子商务套件= 11.5.10.2、12.04、12.0.6、12.1.1、12.1.2和12.1.3
  • 正如Integrigy预期的那样,这是可用于Oracle Database 11.2.0.2的第一个CPU。
  • 对于Oracle电子商务,自2011年7月起,不支持11.5.10.2和12.0.0-12.0.5之前的所有版本的CPU。 我们不确定在CPU中是否有错误,但是12.0.4被列为受支持的版本。 11.5.10.2要求使用Metalink注释ID 883202.1中指定的“扩展支持的最低基准”。
  • 根据发布前的公告,由于本季度修补了各种组件,因此无法确定实际的严重性和对大多数组织的影响。  对于数据库,最高的CVSSv2分数是7.2,并且无需身份验证即可远程利用2个漏洞。 但是,由于列出了针对这13个漏洞进行了修补的18个组件,因此如果没有更多有关各个漏洞的详细信息,很难确定影响。 我们预计得分最高的漏洞将是客户端和Database Vault漏洞。
  • 整合学将在以下网络研讨会中介绍有关此CPU的更多信息:(1) Oracle 2011年7月CPU电子商务套件影响网络研讨会 美国东部时间7月28日,星期四,下午2点和(2) Oracle 2011年7月CPU 甲骨文数据库 Impact网络研讨会 美国东部时间8月2日,星期二,下午2点。


甲骨文数据库

 

  • 有13个数据库漏洞; 2个无需身份验证即可远程利用,2个仅适用于客户端安装。
  • 由于至少一个数据库漏洞具有 CVSS 2.0指标为7.1(对于数据库漏洞而言,这个指标很高),这是一个相当重要的CPU。
  • 该CPU固定的组件不是通常的可疑组件,在许多环境中不会实现其中的几个组件。 看看这些组件中的实际漏洞是什么会很有趣:CMDB元数据&实例API,内容管理,核心RDBMS,数据库目标类型菜单,数据库库,EMCTL,企业配置管理,企业管理器控制台,事件管理,实例管理,Oracle通用安装程序,架构管理,安全框架,安全管理,SQL性能咨询/ UI,流,AQ&复制管理和XML Developer Kit。
  • 此外,Oracle企业管理器中有18个漏洞,Oracle安全备份中有3个漏洞。

Oracle融合中间件

 

 

  • 有7个新的Oracle融合中间件漏洞,其中2个无需身份验证即可远程利用,CVSS最高得分为10.0。
  • 所有Oracle融合中间件实施都应仔细检查该CPU,以确定对环境的确切影响。


Oracle电子商务套件11i和R12

 

  • 只有一个新的Oracle电子商务套件 11i和R12漏洞,无需身份验证即可远程利用。 最有可能无法在DMZ实现中从外部利用商业智能漏洞。


规划影响

 

  • 我们预计本季度CPU的重要性将与以前的CPU一致。 基于修补的组件,这可能会比基于配置和已安装选项的特定数据库的平均风险CPU低。 看来大多数漏洞都与企业管理器组件有关。
  • 与以前的所有CPU一样,本季度的安全补丁应视为至关重要的,并且您应遵守以前的CPU所使用的既定过程和时序。
  • 对于Oracle电子商务套件客户,即使未安装,配置或许可商业智能模块,极有可能必须将商业智能应用于所有实施。


即将举行的Integrigy CPU网络研讨会

Oracle 2011年7月CPU电子商务套件的影响
美国东部时间7月28日,星期四,下午2点

Oracle 2011年7月CPU对Oracle数据库的影响
美国东部时间8月2日,星期二,下午2点

 

 Share this post

订阅RSS

将我们添加到您最喜欢的新闻阅读器中。

在Twitter上关注

获取最新更新。