Oracle Tricon Patch更新2011年7月预发布分析

这是对...的简要分析 预发布公告 为即将到来的2011年7月Oracle关键补丁更新(CPU) -

  • 总体而言,55个Oracle安全漏洞(非Solaris错误)在此CPU中修复,该CPU是高于平均数,但在以前的CPU范围内(APR-11 = 47,Jan-11 = 43,Oct-10 = 50 ,Jul-10 = 38,APR-10 = 31,Jan-10 = 24,Oct-09 = 38,Jul-09 = 30,APR-09 = 43,Jan-09 = 41,Oct-08 = 36,Jul -08 = 45,4月4日= 41,Jan-08 = 26,10月07 = 51,7月07 = 45,APR-07 = 36,Jan-07 = 51,Oct-06 = 101,Jul-06 = 62,4月 - 06 = 34,Jan-06 = 80)。 这些数字已为Oracle产品标准化并排除任何太阳产品。
  • Oracle产品和漏洞组合似乎类似于以前的CPU,唯一的例外是本季度固定的大量Oracle网格控制漏洞。  All CPU支持 包括Oracle数据库和Oracle E-Business Suite版本。 支持的版本列表越来越短,应仔细审查以确定应用CPU安全补丁之前是否需要版本升级 -
        • 数据库= 10.1.0.5,10.2.0.4,10.2.0.5,11.1.0.7,11.2.0.1,主要平台11.2.0.2
        • 应用程序服务器= 10.1.2.3.0,10.1.3.5.0,11.1.1.3.0,11.1.4.0和11.1.1.5.0
        • E-Business Suite = 11.5.10.2,12.04,12.0.6,12.1.1,12.1.2和12.1.3
  • 如积分预期,这是第一个可用于Oracle数据库11.2.0.2的CPU。
  • 对于Oracle E-Business,截至2011年7月,在11.5.10.2和12.0.0 - 12.0.5之前,没有CPU支持所有版本。 我们不确定它是否存在CPU中的错误,但12.0.4被列为支持的版本。 11.5.10.2要求Metalink Note ID 883202.1中规定的“扩展支持的最小基线”。
  • 根据预发布公告,由于本季度修补的各种组件,可以对几个确定的实际严重程度和对大多数组织的影响作出几个确定。  对于数据库,最高的CVSSv2分数是7.2,2漏洞无需身份验证即可远程可利用。 但是,由于18个组件被列为为13个漏洞修补,因此难以确定有关个体漏洞的详细信息的影响。 我们预计评分漏洞最高将是客户端和数据库保管库漏洞。
  • 积分将在以下网络研讨会中提出有关此CPU的更多信息:(1) Oracle 2011年7月CPU电子商务套件影响网络研讨会 星期四,7月28日,2磅等(2) Oracle 2011年7月CPU Oracle数据库影响网络研讨会 星期二,8月2日,et。


Oracle数据库

 

  • 有13个数据库漏洞; 2在没有身份验证的情况下远程可利用,并且2仅适用于客户端安装。
  • 由于至少一个数据库漏洞有一个 CVSS. 2.0度量标准7.1(对于数据库漏洞的重要性),这是一个相当重要的CPU。
  • 此CPU修复的组件不是通常的嫌疑人,并且在许多环境中不会实现一些。 看到这些组件中的实际漏洞是有趣的:cmdb元数据&实例API,内容管理,核心RDBMS,数据库目标类型菜单,数据库Vault,EMCTL,Enterprise Config Management,Enterprise Manager控制台,事件管理,实例管理,Oracle通用安装程序,架构管理,安全框架,安全管理,SQL性能建议/ uis,streams,aq&Replication MGMT和XML Developer Kit。
  • 此外,Oracle Enterprise Manager中有18个漏洞,以及Oracle安全备份中的3个漏洞。

Oracle Fusion中间件

 

 

  • 有7个新的Oracle Fusion中间件漏洞,其中2个是远程可利用的,而无需身份验证,CVSS分数最高为10.0。
  • 所有Oracle融合中间件实现应仔细阅读此CPU以确定对环境的确切影响。


Oracle E-Business Suite 11i和R12

 

  • 只有一个新的Oracle E-Business Suite 11i和R12漏洞,在没有身份验证的情况下远程可利用。 在DMZ实现中,最有可能在外部利用商业智能漏洞。


规划影响

 

  • 我们预计本季度CPU的关键性将与以前的CPU一致。 基于修补的组件,这可能是基于配置和安装选项的特定数据库的平均风险CPU。 它似乎大多数漏洞都与企业管理器组件有关。
  • 与以前的所有CPU一样,本季度的安全补丁应被视为至关重要,您应该遵守以前CPU的既定程序和时间。
  • 对于Oracle E-Business Suite客户,即使未安装,配置或许可,也必须将商业智能应用于所有实现。


即将到来的积分CPU网络研讨会

Oracle 2011年7月CPU电子商务套件影响
星期四,7月28日,2PM et

Oracle 2011年7月CPU Oracle数据库影响
星期二,8月2日,et

 

 Share this post

订阅RSS.

将我们添加到您最喜欢的新闻读者。

在推特上关注

获取最新的更新。