Oracle重要补丁更新,2017年10月Oracle电子商务套件分析和影响

与几乎所有以前的Oracle E-Business Suite重要补丁更新(CPU)一样,2017年10月的季度补丁非常重要且风险很大。在过去的52个季度补丁中,有47个是重要的,并且风险很高,因为它们修复了Oracle E-Business Suite Web应用程序中的一个或多个SQL注入漏洞或其他破坏性安全漏洞。尽管对特定漏洞进行了宣传,营销或命名,但本季度在组织内的风险和优先级方面与上一季度没有什么不同。

在本季度中,有3个SQL注入漏洞,16个跨站点脚本(XSS)漏洞,3个信息泄露以及4个其他类型的漏洞已修复。 最重要的是,无需身份验证即可远程利用26个漏洞中的25个。

运行iStore或iSupport的面向外部的Oracle E-Business Suite环境(DMZ)应该立即采取措施,以减轻影响iStore的两个漏洞和影响iSupport(和知识管理)的四个漏洞。 如果启用了iStore或iSupport模块,URL防火墙将允许这些网页。 所有这六个都是跨站点脚本(XSS)漏洞,它需要与最终用户进行交互(例如单击链接),但允许攻击者劫持最终用户会话。

2017年10月建议

与几乎所有的重要补丁更新一样,安全漏洞修复程序非常重要且风险很高。 对于所有Oracle E-Business Suite环境,应立即采取纠正措施。面临最高风险的实施是运行面向Internet的自助服务模块(即iStore,iSupplier,iSupport等)的实施,由于无法通过身份验证可远程利用的SQL注入漏洞的数量,Integrigy将此CPU评为严重风险。 。  这些实现应(1)尽快应用CPU或使用虚拟补丁解决方案(例如AppDefend),以及(2)确保根据EBS特定说明正确配置了DMZ,并且启用并优化了EBS URL防火墙。

大多数Oracle E-Business Suite环境没有及时应用CPU安全补丁,并且容易受到利用多个漏洞的影响而完全损害应用程序。如果无法快速应用CPU,则唯一有效的替代方法是使用Integrigy的AppDefend,这是Oracle电子商务套件的应用程序防火墙。 AppDefend提供虚拟补丁程序,可以有效地替换EBS Web安全漏洞的补丁程序。

Oracle电子商务套件11i

从2016年4月开始,11i CPU修补程序仅适用于具有1级支持的Oracle客户。 整合学对2017年10月CPU的分析显示,在26i漏洞中,至少有18个在11i中也可被利用。 没有第1层支持的11i环境应该为Oracle电子商务实施Web应用程序防火墙和虚拟补丁程序,以补救大量未修补的安全漏洞。 截至2017年10月,不受支持的Oracle电子商务套件11i环境将具有大约170个未修补的漏洞-其中许多是高风险的SQL注入安全漏洞。

11i Tier 1支持已延长至2018年12月,因此2018年10月将成为Oracle电子商务套件11i的最终CPU。

Oracle电子商务套件12.0

Oracle电子商务套件12.0的CPU支持已于2015年1月结束,并且此版本没有安全修复程序。 Integrigy对CPU的分析显示,在12.0中,至少26个漏洞中有22个可利用。为了保护您的应用程序环境,适用于Oracle E-Business Suite的Integrigy AppDefend应用程序防火墙为所有这些可利用的Web安全漏洞提供了虚拟补丁程序。

 Share this post