2016年Oracle电子商务套件重要补丁更新(CPU)规划

从新的一年开始,现在是时候考虑2016年的Oracle重要补丁更新了。 Oracle每个季度(一月,四月,七月和十月)以关键补丁更新(CPU)的形式发布安全补丁。 这些补丁包括针对Oracle电子商务套件及其技术堆栈中的安全漏洞的重要修复程序。 CPU仅适用于某些版本的Oracle电子商务套件和Oracle数据库,因此,需要进行高级规划以确保使用受支持的版本,并且在无法及时应用CPU时,可能需要缓解控制措施。 。

对于2016年,由于将修复Oracle电子商务套件的大量安全漏洞,因此Oracle电子商务套件的CPU将成为重点。 2016年1月,Oracle电子商务套件(EBS)的CPU将包含78个安全修复程序,以解决各种安全漏洞,其中许多风险很高,例如面向Web的自助服务模块中的SQL注入。 Integrigy预计,在接下来的几个季度中,EBS安全修复程序的数量将超过平均水平(自2005年以来,平均每个CPU 7个)。 如此众多的安全漏洞使Oracle EBS环境面临巨大风险,因为其中许多漏洞都是高风险且广为人知。

支持的Oracle电子商务套件版本

从2016年4月开始,向前运行的CPU将仅完全支持12.1和12.2。 仅具有高级客户支持(ACS)合同的客户才能使用2016年4月,2016年7月和2016年10月的11.5.10 CPU补丁程序。 2016年10月之后将没有11.5.10 CPU补丁。 截至2015年10月,对12.0的CPU支持已终止。

11.5.10建议

  1. 如果可能,建议升级到12.1或12.2。
  2. 获得高级客户支持(ACS)合同是短期(到2016年10月)的解决方案,但是这是一个昂贵的选择。
  3. 应用CPU修补程序的另一种方法是在代理模式下使用Integrigy的AppDefend(用于Oracle EBS的应用程序防火墙),该模式可以阻止EBS Web安全漏洞。 AppDefend提供虚拟补丁程序,可以有效地替换EBS Web安全漏洞的补丁程序。

为了缓解某些mod_plsql安全漏洞,所有Oracle EBS 11i环境都应考虑限制已启用的mod_plsql网页。 脚本/patch/115/sql/txkDisableModPLSQL.sql可用于限制FND_ENABLED_PLSQL中列出的允许页面。 该脚本在11i.ATG_PF.H中引入,而最新版本在11i.ATG_PF.H.RUP7中。 必须对此进行彻底的测试,因为它可能会阻止组织使用的几个mod_plsql页面。 查看Apache Web日志中的模式“ / pls /”,以查看正在积极使用哪些mod_plsql页面。 此修复程序作为2016年1月CPU的一部分包含在内并实现。

12.0建议

  1. 由于没有适用于12.0的安全修补程序,因此建议尽可能升级到12.1或12.2。
  2. 如果升级不可行,则Integrigy的AppDefend(用于Oracle EBS的应用程序防火墙)可为EBS Web安全漏洞提供虚拟补丁程序,并阻止常见的Web漏洞,例如SQL注入和跨站点脚本(XSS)。 当无法升级EBS时,AppDefend是易于实施且具有成本效益的解决方案。

12.1建议

  1. 到2019年10月为止,CPU均支持12.1,用于保持最低基准的实施。 当前的最小基准是12.1.3应用程序技术堆栈(R12.ATG_PF.B.delta.3)。 除非发现大量特定于功能模块的功能(即GL,AR,AP等)安全漏洞,否则此最低基准应一直保持到2019年10月。
  2. 对于在发布后30天内无法应用CPU补丁或使用面向Internet的自助服务模块(即iSupplier,iStore等)的组织,应使用AppDefend提供已知但尚未补丁的Web安全性的虚拟补丁。漏洞并阻止常见的Web安全漏洞,例如SQL注入和跨站点脚本(XSS)。

12.2建议

  1. 到2021年7月,CPU将支持12.2,因为将不再支持12.2。 当前的最小基线是12.2.3加上上卷补丁R12.AD.C.Delta.7和R12.TXK.C.Delta.7。 Integrigy预计,随着针对12.2的新RUP(12.2.x)的发布,最低基准将逐步提高。 您的计划应该预期最低基准将是2017年的12.2.4和2019年的12.2.5,以及12.2.6和12.2.7的发布。 随着可能发布的12.3,将来可能需要最低基准12.2.7。
  2. 对于在发布后30天内无法应用CPU补丁或使用面向Internet的自助服务模块(即iSupplier,iStore等)的组织,应使用AppDefend提供已知但尚未补丁的Web安全性的虚拟补丁。漏洞并阻止常见的Web安全漏洞,例如SQL注入和跨站点脚本(XSS)。

EBS数据库建议

  1. 自2015年10月CPU起,唯一受CPU支持的数据库版本为11.2.0.4、12.1.0.1和12.1.0.2。 截至2015年7月,对11.1.0.7和11.2.0.3 CPU的支持已终止。 12.1.0.1的最终CPU将在2016年7月发布。
  2. 如果可能,应将所有EBS环境升级到11.2.0.4或12.1.0.2,包括11.5.10.2在内的所有EBS版本都支持这些环境。
  3. 如果无法及时应用数据库安全修补程序(SPU或PSU),则唯一有效的缓解措施是严格限制直接数据库访问。 为了限制数据库访问,Integrigy建议使用EBS功能“托管SQLNet访问”,Oracle Connection Manager,网络限制和防火墙规则和/或终端服务器和堡垒主机。
  4. 无论是否定期应用安全补丁,都应该对所有EBS数据库进行常规的数据库强化,例如更改数据库密码,优化初始化参数以及启用审核。

 Share this post

订阅RSS

将我们添加到您最喜欢的新闻阅读器中。

在Twitter上关注

获取最新更新。