2014年10月Oracle重要补丁更新-大规模补丁

就在您认为Oracle数据库世界变得越来越安全的时候,Oracle将在10月14日(星期二)发布针对32个数据库安全错误的修复程序。 这与之前的25个季度形成了鲜明的对比,在此之前的25个季度中,最高的是16个数据库错误,平均每季度平均为8.2个数据库错误。 在过去的两年中,单个季度修复的数据库错误最多为六个。

除了32个数据库安全漏洞外,在44种不同产品中总共修复了155个安全漏洞。

这是对 发行前公告 即将于2014年10月发布的Oracle重要补丁更新(CPU)。

甲骨文数据库

  • 有32个数据库漏洞。只有一个可以在没有身份验证的情况下被远程利用,还有四个适用于仅客户端安装。
  • 由于至少一个数据库漏洞具有 CVSS 2.0指标9.0(对于数据库漏洞至关重要),由于严重性和修复数量,这是一个相当重要的CPU。
  • Application Express(APEX)中可能存在没有身份验证错误的可远程利用。 任何在Internet上外部运行APEX的组织都应寻求立即应用相关补丁。 要修补APEX,必须安装最新版本,这需要对应用程序进行适当的测试和升级。
  • 仅存在四个cilent端安装,并且可能大多数安装在JDBC中。
  • 核心RDBMS和PL / SQL被列为修补组件,因此所有数据库实现中最有可能存在严重的安全漏洞。

Oracle融合中间件

  • 有17个新的Oracle融合中间件漏洞,其中13个无需身份验证即可远程利用,CVSS最高得分为7.5。
  • 各种融合中间件产品被列为易受攻击的,因此您应该仔细检查该CPU,以确定对环境的确切影响。
  • 核心WebLogic Server被列为已修补的组件,因此,所有融合中间件客户很可能都必须应用该修补程序。

Oracle电子商务套件11i和R12

  • 有9个新的Oracle E-Business Suite 11i和R12漏洞,其中7个无需身份验证即可远程利用。 其中许多都在Oracle EBS核心组件中,例如Oracle应用程序框架(OAF)和应用程序对象库(AOL / FND)。 即使最大的CVSS分数是5.0,这些漏洞中的大多数也应视为高风险。
  • Oracle EBS的所有DMZ实现都应仔细检查CPU,以确定该环境是否易受攻击。 由于现在所有Oracle EBS CPU补丁都已累积,因此应该对CPU补丁进行优先级排序或减轻控制,例如 AppDefend,得以实施。

规划影响

  • 我们预计本季度的CPU风险将高于大多数,因此应该优先考虑。 根据修补的组件,这可能比所有Oracle数据库环境的平均风险CPU高。
  • 与以前的所有CPU一样,本季度的安全补丁应视为至关重要的,并且您应遵守以前的CPU所使用的既定过程和时序。
  • 对于Oracle E-Business Suite客户,由于错误的数量和严重性,DMZ实施可能必须比上一季度更快地应用本季度的补丁程序。

 Share this post

订阅RSS

将我们添加到您最喜欢的新闻阅读器中。

在Twitter上关注

获取最新更新。