Oracle电子商务套件移动和Web服务安全性-您需要知道的

保护打包的软件(例如Oracle电子商务套件)与保护定制的定制软件相比,面临着不同的挑战。与自定义软件不同,Oracle电子商务套件的结构和安全漏洞都是众所周知的,而且不仅对用户而且对威胁行动者都已记录在案。开始攻击时,需要进行有限的探测和/或侦察,因为威胁行为者确切地知道要瞄准的目标和预期的目标。与其他ERP平台一样,这也使Oracle电子商务套件容易受到自动攻击。

甲骨文数据库 11.2.0.4和12.1.0.2新的CPU结束日期

在即将发布的Oracle Database 12.2.0.1本地版本中,Oracle已将关键补丁更新(CPU)安全补丁的结束日期更新为11.2.0.4和12.1.0.2。当前(截至2017年1月),CPU仅支持11.2.0.4和12.1.0.2。

与扩展支持终止相对应的CPU终止日期已延长至2020年10月(11.2.0.4)和2021年7月(12.1.0.2)。对这两个版本的扩展支持的第一年都是免费的,直到2018年12月(11.2.0.4)和2019年7月(122.1.0.2)。

Oracle电子商务套件:去年修复了250个安全漏洞

从2016年1月到2017年1月,Oracle修复了Oracle电子商务套件中的250个安全漏洞。过去的五个Oracle关键更新更新(CPU)包括针对Oracle电子商务套件的修复位数为两位数或三位数。在所有版本的Oracle电子商务套件中,几乎所有这些安全漏洞都可利用,包括11i,12.0、12.1和12.2。修复的250个安全漏洞中有许多是高风险漏洞,例如SQL注入,跨站点脚本(XSS),XML外部实体攻击和特权提升。

Oracle电子商务套件 11i-扩展了针对第1层支持的重要补丁程序更新

自2016年12月起,Oracle已将对Oracle电子商务套件 11.5.10的重要补丁更新(CPU)支持扩展到2017年10月,以提供额外的费用1级支持/高级合同支持(ACS)客户。从2016年4月的重要补丁更新(CPU)开始,Oracle电子商务套件 11.5.10 CPU补丁仅适用于具有第1级/ ACS支持合同的客户。请参阅My Oracle Support说明ID 1596629.1 想要查询更多的信息。

Oracle Discoverer安全警报-对SOX合规性和财务报告产生重大影响

对于那些使用Oracle Discoverer的客户,尤其是那些使用带有Oracle电子商务套件的Discoverer进行财务报告的客户,2016年10月的Oracle重要补丁更新(CPU)包含Integrigy Corporation报告的高风险漏洞。 CVE-2016-5495是Discoverer EUL代码和架构的漏洞,基本得分为7.5。 整合学认为此漏洞会影响与Oracle电子商务套件一起使用的Discoverer的所有版本,并且报告的机密性,完整性和可用性受到威胁。

Oracle数据库重要补丁更新,2016年10月:仅12.1.0.2和11.2.0.4

关键补丁更新(CPU)支持的Oracle数据库版本列表越来越短。从2016年10月CPU开始,仅支持12.1.0.2和11.2.0.4。为了对所有其他Oracle版本应用CPU安全补丁,必须将数据库升级到12.1.0.2或11.2.0.4。由于这些是终端数据库版本,因此12.1.0.2的最终CPU修补程序是2021年7月,而11.2.0.4的最终CPU修补程序是2020年10月。对于尚未应用12c CPU修补程序的用户,仅提供修补程序集更新(PSU),包括两者安全修复和提示

PeopleSoft数据移动器安全性

数据移动器允许对PeopleSoft中的数据进行全面处理。不论操作系统和数据库供应商如何,都可以使用它在PeopleSoft数据库之间传输数据。声明需要谨慎保护Data Mover脚本是一种轻描淡写的做法–必须高度保护Data Mover脚本和活动的安全性。

PeopleSoft Process Scheduler安全性

在执行PeopleSoft安全审核时,Integrigy会仔细检查通过流程计划程序生成的批处理活动。谁可以访问进程调度程序并查看批处理作业,以标识具有超级用户特权的作业将在何处运行,这是一个特别的重点。

今天要查看您的环境中有权管理流程调度程序的人员,可以使用以下方法:

PeopleSoft用户安全性

执行PeopleSoft安全审核时,协调用户应该是首要任务之一。这包括通过安装PeopleSoft创建的默认帐户以及与员工,供应商和客户关联的用户帐户。

以下是Integrigy在我们的PeopleSoft安全配置评估过程中调查的几个主题-今天来看一下您的设置:

PeopleSoft震动安全

Jox和Tuxedo一起支持PeopleSoft Web请求。具体地说,Jolt是应用程序服务器和Web服务器之间的层。它也被描述为Tuxedo的Java支持版本。

在执行PeopleSoft安全审核时,Integrigy会详细检查PeopleSoft Jot安全设置,以确保根据最佳实践建议进行设置。为此,请使用下表查看您的设置。还应定期检查这些设置,以确保不会出现配置漂移。

PeopleSoft Web门户安全性

在执行PeopleSoft安全审核时,Integrigy会详细检查PeopleSoft Web Portal安全设置,以确保根据最佳实践建议进行设置。为此,请使用下表查看您的设置。

还应定期检查这些设置,以确保不会出现配置漂移。

领域

描述

PeopleSoft加密

作为整体安全策略的一部分,需要在静止,移动或使用中保护敏感数据。这包括个人身份信息(PII)以及敏感的PeopleSoft系统配置。

在执行PeopleSoft安全审核时,Integrigy会检查PeopleSoft技术堆栈的所有组件中加密的使用和实现。这包括以下所有关键要素。立即查看您的信息,如有任何疑问,请联系Integrigy。

PeopleSoft PUBLIC用户安全性

不需要PeopleSoft Public用户进行身份验证(登录)。这些是为特定目的而创建的通用帐户,例如信息页面和/或公司目录。公共用户也不受超时(会话不活动)的影响。由于不需要身份验证,因此这些用户不应访问任何敏感数据。不用说,如果您不需要公共帐户,请不要使用它们。

Oracle电子商务套件 12.1和12.2添加了对TLS 1.2的支持

Oracle已在Oracle电子商务套件 12.1和12.2中发布了对TLS 1.2的支持。以前,Oracle电子商务套件仅支持SSLv3和TLS 1.0,截至2014年6月,SSLv3和TLS 1.0不再被批准与联邦系统一起使用并且不兼容PCI-DSS。对于TLS 1.2支持,新的My Oracle Support(MOS)文档是可用的:

在Oracle电子商务套件 12.2版中启用TLS(文档ID 1367293.1)

在Oracle电子商务套件 12.1版中启用TLS(文档ID 376700.1)

页数

订阅RSS

将我们添加到您最喜欢的新闻阅读器中。

在Twitter上关注

获取最新更新。