Oracle Tricon Patch更新2016年1月E-Business Suite分析

开始,2016年1月的Oracle E-Business Suite(EB)的关键补丁更新(CPU)是 显着和高风险

首先,此具有78 EBS安全修复的CPU具有10x的EBS安全修复程序数量,而不是平均CPU。 对于自2005年以来释放的前44个CPU,平均每季度为EBS固定7.5个安全错误。 其次,有大量的SQL注入和其他高风险错误,例如从EBS应用程序服务器读取任意文件的能力。 第三,安全错误在30多个技术和功能模块中,每个EBS实现都有很大的风险。 即使您没有安装,配置或许可模块,在几乎所有情况下,仍然可以利用漏洞。最后,至少10个安全漏洞可以容易地利用EBS接口的自助服务模块。

积分被认为是发现本季度固定的40个安全错误。 我们有额外的安全错误,与Oracle一起开放,我们除了在未来几个季度中解析。

由于影响Oracle E-Business Suite 11.5.10的漏洞数量大,Oracle将在2016年1月的CPU中更改了11.5.10个支持政策,从要求高级支持合同(ACS)提供有效支持合同的所有客户。 2016年4月至2016年10月CPU,Oracle E-Business Suite 11.5.10 CPU补丁仅适用于具有高级支持合同(ACS)的客户提供。 2016年10月之后,11.5.10的CIBU将没有更多CPU。

漏洞故障

对安全漏洞的分析显示了78安全修复解决了35个SQL注入错误,17个未授权的访问问题,9个跨站点脚本(XSS)错误,5个XML外部实体(XXE)错误以及各种其他安全问题和缺点。 最关键的是SQL注入错误,因为这些错误可能允许未经身份验证的Web应用程序用户将SQL作为应用程序数据库帐户(应用程序)执行。 这些SQL注入错误中的许多允许访问敏感数据或执行特权函数的能力,例如更改应用程序或数据库密码,授予权限等。

此外,其中几个错误允许攻击者具有未经身份验证的Web应用程序访问,以从应用程序服务器检索任意文件。 随着EBS的一些了解,可以使用应用程序数据库密码下载文件。

EBS版本故障

在所有版本的Oracle E-Business Suite中找到了23个漏洞。  其余部分主要是针对每个版本中的不同Web架构。 以下是EBS版本78漏洞的细分 -

11.5.10 12.0.x 12.1.x 12.2.x
66 38 40 22

对于11.5.10,使用mod_plsql实现的网页中有22个漏洞。 mod_plsql是一个Oracle特定的Web架构,其中Web应用程序是使用数据库PL / SQL包实现的。 从12.0开始从EB中删除mod_plsql。 有关减轻一些Mod_PLSQL漏洞的信息,请参阅下面的部分“EBS 11i mod_plsql缓解”。

许多R12(12.0,12.1,12.2)特定漏洞位于Java Server页面(JSP)和Java Servlet中,其中未在11i中找到。

我在版本列表中包含12.0.x以显示即使2016年1月CPU不支持此版本,则大量安全错误会影响此版本。

2016年1月建议

与所有严重的补丁更新一样,最有效的解决漏洞的方法是及时应用补丁。 

风险实现中最多的是运行的Internet面对自助服务模块(即istore,Isupplier,Isupport等),并且由于可以在没有身份验证的情况下可以远程剥离的SQL注入漏洞的数量,因此CPU作为严重风险的Integrigry Rates 。  这些实现应该(1)尽快应用CPU,并且(2)确保根据EBS特定说明正确配置DMZ,EBS URL防火墙已启用和优化。

如果无法以及时应用CPU,则应实施Integigy的AppDefend,Oracle E-Business Suite的应用程序防火墙。 AppDefend提供虚拟修补,可以有效地替换EBS Web安全漏洞的修补。

EBS 11i mod_plsql缓解

为了减轻一些Mod_PLSQL安全漏洞,所有Oracle EBS 11i环境应介绍限制已启用的Mod_PLSQL网页。 脚本/patch/115/sql/txkdisablemodplsql.sql可用于限制fnd_enabled_plsql中列出的允许页面。 此脚本在11i.atg_pf.h中引入,最新版本在11i.atg_pf.h.rup7或2016年1月CPU中。 这必须彻底测试,因为它可能阻止组织使用的几个Mod_PlSQL页面。 查看模式'/ PLS /'的Apache Web日志,以查看正在积极使用哪些mod_plsql页面。 此修复程序包含并作为2016年1月CPU的一部分实施。

 Share this post

订阅RSS.

将我们添加到您最喜欢的新闻读者。

在推特上关注

获取最新的更新。