Oracle Tricon Patch更新2011年4月预发布分析

这是对...的简要分析 预发布公告 为即将推出的2011年4月Oracle关键补丁更新(CPU) -

  • 总体而言,47个Oracle安全漏洞(非Solaris错误)在此CPU中修复,该CPU是平均数,并且在以前的CPU范围内(Jan-11 = 43,Oct-10 = 50,Jul-10 = 38, APR-10 = 31,Jan-10 = 24,Oct-09 = 38,Jul-09 = 30,APR-09 = 43,Jan-09 = 41,Oct-08 = 36,Jul-08 = 45,APR- 08 = 41,Jan-08 = 26,OCT-07 = 51,Jul-07 = 45,APR-07 = 36,Jan-07 = 51,OCT-06 = 101,Jul-06 = 62,APR-06 = 34,Jan-06 = 80)。 这些数字已为Oracle产品标准化并排除任何太阳产品。
  • Oracle产品和漏洞组合似乎与以前的CPU类似。  All CPU支持 包括Oracle数据库和Oracle E-Business Suite版本。 支持的版本列表越来越短,应仔细审查以确定应用CPU安全补丁之前是否需要版本升级 -

        • 数据库= 10.1.0.5,10.2.0.4,10.2.0.5,11.1.0.7,11.2.0.1,主要平台11.2.0.2
        • 应用程序服务器= 10.1.2.3.0,10.1.3.5.0,11.1.1.2.0,11.1.1.1.0和11.1.1.4.0
        • E-Business Suite = 11.5.10.2,12.0.6,12.1.1,12.1.2和12.1.3
  • 如积分预期,这是第一个可用于Oracle数据库11.2.0.2的CPU。
  • 对于Oracle E-Business,截至2011年4月,在11.5.10.2和12.0.0 - 12.0.5之前,所有版本都没有CPU支持。 11.5.10.2要求"扩展支持的最低基准"如Metalink Note ID 883202.1中规定的。
  • 此CPU的亮点是9个Oracle应用程序服务器/融合中间件安全漏洞中的6个,无需身份验证即可轻松利用 最高的CVSSv2得分为10.0。 漏洞位于Oracle帮助,Oracle HTTP服务器,Oracle Jrockit,Oracle外部技术,Oracle Security Service,Oracle WebLogic Server,Portal和Components上的单个登录。
  • 积分将在以下网络研讨会中提出有关此CPU的更多信息:(1) Oracle 2011年4月CPU电子商务套件影响网络研讨会 星期四,4月28日,et和(2) Oracle 2011年4月CPU Oracle数据库影响网络研讨会 星期四,5月5日,2PM等。

Oracle数据库

  • 有6个数据库漏洞,2个无需身份验证即可远程利用。
  • 由于至少一个数据库漏洞有一个 CVSS. 2.0度量标准6.5(对于数据库漏洞很重要),这是一个相当重要的CPU。
  • 此CPU修复的组件不是通常的嫌疑人,并且在许多环境中不会实现一些。 看到这些组件中的实际漏洞是什么:应用程序服务级别管理,数据库保管库,网络基础,Oracle帮助,Oracle安全服务,Oracle Warehouse Builder和UIX是什么。 如果网络基础错误是拒绝服务并且大多数其他组件都不在环境中实现,这可能是第一个CPU之一被归类为某些Oracle数据库的低风险。

Oracle Fusion中间件

  • 有9个新的Oracle Fusion中间件漏洞,其中6个,无需认证即可远程可利用,最高的CVSS分数为10.0。
  • 关键重要性将是Oracle HTTP Server和Oracle Web Logic Server中的修复程序。 所有Oracle融合中间件实现应仔细阅读此CPU以确定对环境的确切影响。

Oracle E-Business Suite 11i和R12

  • 有4个新的Oracle E-Business Suite 11i和R12漏洞,其中两个是远程可利用的,无需身份验证。
  • 漏洞是Oracle应用程序对象库(AOL),应用程序安装和Web ADI。 如果AOL漏洞可以在DMZ实现中可以在外部利用AOL漏洞,则不清楚。

规划影响

  • 我们预计本季度的关键性'CPU将与以前的CPU一致。 唯一的例外可能是大量的Oracle融合中间件远程可利用漏洞,尤其是Oracle HTTP服务器中的任何一个。 对于基于配置和安装选项的特定数据库,这可能是低于平均风险CPU的低于平均风险。
  • 与以前的所有CPU一样,本季度'S安全补丁应该被视为至关重要,您应该遵守用于以前CPU的既定程序和时机。
  • Oracle E-Business Suite具有外部实现的客户,应仔细阅读应用程序对象库中的远程可利用的漏洞,以确定这些页面是否由URL防火墙阻止。 如果任何易受攻击的网页都可以外部访问,客户应该查找立即修补这些环境。

即将到来的积分CPU网络研讨会

Oracle 2011年4月CPU电子商务套件影响
星期四,4月28日,第二次ET

Oracle 2011年4月CPU Oracle数据库影响
星期四,5月5日,第二次ET

 Share this post

订阅RSS.

将我们添加到您最喜欢的新闻读者。

在推特上关注

获取最新的更新。