关键补丁更新2008年1月预发布分析

这是对...的简要分析 预发布公告 即将到来的2008年1月Oracle Tricon Patch更新(CPU) -

  • 总的来说,在此CPU中修复了27个安全漏洞,这是自2005年1月发布的原始CPU自2005年1月份的最低错误数量,该错误是固定25个错误(OCT-07 = 51,JUL-07 = 45,APR-07 = 36, Jan-07 = 51,OCT-06 = 101,Jul-06 = 62,APR-06 = 34,Jan-06 = 80)。
  • 这是第一个包含Oracle 11g修复程序(11.1.0.6)的CPU。
  • 产品和漏洞组合似乎类似于以前的CPU。  All CPU支持 包括Oracle数据库,Oracle Application Server.,Oracle Collaboration Suite和Oracle E-Business Suite版本。 支持的版本列表越来越短,应仔细审查以确定应用CPU安全补丁之前是否需要版本升级 -
        • 数据库= 9.2.0.8,10.1.0.5,10.2.0.2和10.2.0.3,11.1.0.6
        • 应用程序服务器= 9.0.4.3,10.1.2和10.1.3
        • E-Business Suite = 11.5.9,11.5.10.x和12.0.x
  • Oracle在2007年7月的CPU中介绍了一个新的策略,在那个平台上,几个带有积极创建的CPU修补程序的平台将没有修补程序 - CPU补丁只会根据要求提供。 根据2007年10月的CPU注(Metalink Note ID 455287.1),在2008年1月CPU的要求下,若干平台上的10.1.0.5的补丁仅可用。 2008年1月CPU的数据库注释将有一个标题部分"下一个CPU释放的计划补丁"应该仔细审查,以确定您的平台/版本是否为"On Request"补丁在下一个版本中。

Oracle数据库

  • 有8个数据库漏洞,没有远程可利用。
  • 至少有一个数据库安全漏洞有一个 CVSS. 2.0度量标准6.5,用于数据库漏洞应被视为高风险。 这通常意味着具有有效数据库会话的任何人都能够危及整个数据库,但无法实现根操作系统访问。
  • 根据2007年10月CPU注释,只有有限的平台支持10.2.0.2。 仅在2008年1月CPU:AIX 5L,HP Itanium,HP / UX,IBM Zlinux,Linux X86-64,Linux Itanium和Linux ON电源上的10.2.0.2平台。 关键缺失平台包括所有Solaris和Windows操作系统。

Oracle Application Server.

  • 虽然无影响Oracle HTTP服务器(Apache),但是在没有身份验证的情况下,6个漏洞中的5个漏洞可轻松地利用。
  • 先前披露的 金发子虫 已修复,修复此错误的密钥是从所有客户端PC中删除以前的Jinitiator版本以及应用程序服务器上的Jinitiator升级。 只要有可能,Jinitiator应该升级到至少1.3.1.29或替换为Sun Java插件。

Oracle E-Business Suite 11i和R12

  • Oracle E-Business Suite中的7个漏洞中的3个无需身份验证即可远程可利用。 大多数漏洞都在OA框架等核心组件中,因此所有实现都应将大部分修补程序视为至关重要。
  • 11.5.8不再支持,因此,没有CPU支持。 2008年4月将是11.5.9的最后一个CPU。

规划影响

  • 与以前的所有CPU一样,本季度的安全补丁应被视为至关重要,您应该遵守以前CPU的既定程序和时间。

注意:释放CPU时被删除。

 Share this post