Oracle安全博客

PCI接口要求3.4规定，使用单向哈希或强加密将主帐号（PAN）存储在任何地方都不可读。 Oracle电子商务套件第12版首先通过将持卡人数据集中到安全支付存储库中，然后再应用强加密，从而满足了这一要求。

Oracle Payments提供了两种加密模式，完全或部分加密，以及立即或计划的加密。选择哪种加密选项应该是与法律顾问，合规性和风险管理讨论的结果。 

通过篡改参数和URL，攻击者或邪恶的内部人员可以操纵和/或构造URL以公开信息和/或试图绕过Oracle电子商务套件功能-包括应用程序安全性的某些部分。有多个配置文件选项可提供针对跨站点脚本（XSS），HTML注入攻击以及参数和URL篡改的深度防御。将这些配置文件选项设置为以下推荐值将有助于降低信息泄漏风险。

如果您有问题，请与我们联系。

附件是Oracle电子商务套件的信息泄漏风险。有两种来源，第二种是不被普遍认可的。

很少找到不使用诊断程序来支持其Oracle电子商务套件的客户。但是，诊断程序通常被视为信息泄漏的来源。通过设计，不应在生产中启用诊断，或者如果启用了诊断，则应仅在用户级别且有限的时间内启用诊断。如果您的非生产实例具有DMZ节点，则适用相同的建议。

Oracle电子商务套件提供了大量的诊断和监视解决方案。虽然这些解决方案提供了有关您的实施的全面而深入的信息，但它们也可能是严重的信息泄漏的根源。特别是如果您具有面向Internet的应用程序，例如iStore，iSupplier或iRecruitment，则需要采取措施来保护实现，以防止意外的信息泄漏，并向可能想要攻击您的人提供尽可能少的信息。

从2013年12月1日起，Oracle电子商务套件 11.5.10移入了Sustaining Support。通常，Oracle持续支持不以关键补丁更新的形式包含安全修复程序。但是，对于11.5.10，2015年12月之前是一个例外，严重性1修复，工资单1099更新和重要补丁更新将可用。

Oracle EBS 12.2中的新安全功能
2013年10月24日星期四-美国东部时间下午2:00

在Oracle EBS 11i上没有CPU补丁？
2013年9月17日，星期二-美国东部时间下午2:00

当您无法应用Oracle安全补丁时
2013年6月25日，星期二-美国东部时间下午2:00

这一切都始于2005年1月的重要补丁更新（CPU）。然后，将补丁集更新（PSU）作为累积补丁添加，其中包括优先级补丁和安全补丁。从2012年10月的重要补丁更新开始，Oracle更改了术语，以更好地区分补丁程序类型。该术语将用于Oracle数据库，企业管理器，融合中间件和WebLogic。

即将举行的网络研讨会：信用卡和Oracle电子商务套件-安全性和PCI合规性问题

信用卡和Oracle电子商务套件-安全性和PCI合规性问题
美国东部时间8月16日，星期四2:00 pm-3:00 pm

即将举行的网络研讨会：保护1,000个Oracle数据库-挑战和解决方案

美国东部时间7月26日，星期四，2：00pm-3:00 pm

对于在最近的Collaborate12会议上错过本次会议的那些人，请继续阅读。

即将举行的网络研讨会：《 Oracle电子商务套件安全管理指南》

保护Oracle电子商务套件的管理者指南
美国东部时间6月20日，星期三，2：00pm-3:00 pm

对于在最近的Collaborate12会议上错过本次会议的那些人，请继续阅读。

即将举行的网络研讨会：安全新手训练营：Oracle数据库安全漏洞介绍

腾出空间-在将Oracle电子商务套件部署到Internet时添加保护层
美国东部时间3月8日，星期四2:00 pm-3:00 pm