关键补丁更新4月2008年预发布分析

这是对...的简要分析 预发布公告 对于即将到来的2008年4月Oracle Tricon Patch更新(CPU) -

  • 总体而言,在此CPU中固定了41个安全漏洞,该CPU是在以前CPU的范围内的平均号码(Jan-08 = 26,Oct-07 = 51,Jul-07 = 45,APR-07 = 36,Jan- 07 = 51,10月06 = 101,Jul-06 = 62,4月6日= 34,Jan-06 = 80)。
  • 这是第一个包含Siebel修复的CPU。
  • 产品和漏洞组合似乎类似于以前的CPU。  All CPU支持 包括Oracle数据库, Oracle Application Server. ,Oracle Collaboration Suite和Oracle E-Business Suite版本。 支持的版本列表越来越短,应仔细审查以确定应用CPU安全补丁之前是否需要版本升级 -
        • 数据库= 9.2.0.8,10.1.0.5,10.2.0.3,以及主要平台的11.1.0.6
        • 应用程序服务器= 9.0.4.3,10.1.2和10.1.3
        • E-Business Suite = 11.5.9,11.5.10.x和12.0.x
  • 2008年4月的主要CPU版本支持更改是 -
      • Solaris X86和VMS仅支持数据库版本10.2.0.2
      • Oracle E-Business Suite 11i需要ATG RUP5或RUP6
  • Oracle在2007年7月的CPU中介绍了一个新的策略,在那个平台上,几个带有积极创建的CPU修补程序的平台将没有修补程序 - CPU补丁只会根据要求提供。 根据2008年1月的CPU注(Metalink Note ID 466757.1),在2008年4月的CPU的要求下,若干平台上的数据库版本10.1.0.5的补丁将获得。 对于 Oracle Application Server. ,许多平台都有"On Request"跨所有版本,尤其是9.0.4.3的补丁。 2008年1月CPU的数据库注释将有一个标题部分"下一个CPU释放的计划补丁"应该仔细审查,以确定您的平台/版本是否为"On Request"补丁在下一个版本中。

Oracle数据库

  • 有17个数据库漏洞,两个都是远程可利用的无身份验证。 由于APEX,NET Services,Autorage验证和UltraSearch包含在受影响的组件中,因此可以非常有趣地看到远程利用漏洞的潜在谎言。
  • 至少有一个数据库安全漏洞有一个 CVSS. 2.0度量标准6.6,用于数据库漏洞应被视为高风险。 这通常意味着具有有效数据库会话的任何人都能够危及整个数据库,但无法实现根操作系统访问。
  • 根据2008年1月的CPU注释,平台支持非常有限10.2.0.2。 仅在2008年4月CPU:Solaris X86和VMS中支持10.2.0.2的以下平台。

Oracle Application Server.

  • 有3个新的Oracle应用程序漏洞,所有这些都是远程可利用的无需身份验证。 两个影响 Oracle Application Server. 组件Oracle动态监控服务和Oracle Portal。 第三个漏洞是Oracle Jinitiator,它是一个客户安装的产品。

Oracle E-Business Suite 11i和R12

  • 在Oracle E-Business Suite中的11个漏洞中的7个漏洞无需身份验证即可进行远程可利用。 大多数漏洞都在OA框架和AOL等核心组件中,因此所有实现都应考虑大部分这些修补程序。

规划影响

  • 与以前的所有CPU一样,本季度的安全补丁应被视为至关重要,您应该遵守以前CPU的既定程序和时间。

注意:释放CPU时,将删除预发布通知。

 Share this post