Oracle E-Business Suite Tricon Patch更新(CPU)计划于2016年

随着新的一年的开始,现在是时候考虑2016年的Oracle关键补丁更新了。 Oracle每个季度(1月,4月,7月和10月)的关键补丁更新(CPU)的形式发布安全补丁。 这些修补程序包括Oracle E-Business Suite及其技术堆栈中的安全漏洞的重要修复。 CPU仅适用于Oracle E-Business Suite和Oracle数据库的某些版本,因此,需要高级规划以确保使用支持的版本,并且在CPU无法及时应用CPU时可能需要潜在的缓解控制。

2016年,Oracle E-Business Suite的CPU将成为大量安全漏洞,因为Oracle E-Business Suite将被修复。 Oracle E-Business Suite(EBS)的2016年1月CPU将包括78个安全修复程序,可为各种安全错误提供许多具有高风险,如Web面向自助服务模块的SQL注入。 积分预期接下来的几个季度将具有高于平均平均EBS安全修复的数量(自2005年以来的平均值为7)。 这个大量的安全错误将Oracle EBS环境以大量风险为大量风险,因为许多这些错误将是高风险和良好的公布。

支持Oracle E-Business Suite版本

从2016年4月的CPU开始,只需12.1和12.2即将支持CPU前进。 11.5.10 2016年4月的CPU补丁,2016年7月和2016年10月只能为客户提供先进的客户支持(ACS)合同。 2016年10月之后,将在2016年10月之后没有11.5.10 CPU补丁。 截至2015年10月,CPU支持12.0终止。

11.5.10建议书

  1. 当可能时,建议是升级到12.1或12.2。
  2. 获得高级客户支持(ACS)合同是一项短期(直到2016年10月)解决方案,但是一个昂贵的选择。
  3. 应用CPU补丁的替代方法是在代理模式下使用积分的AppDefend,用于Oracle EBS的应用程序防火墙,这会阻止EBS Web安全漏洞。 AppDefend提供虚拟修补,可以有效地替换EBS Web安全漏洞的修补。

为了减轻一些Mod_PLSQL安全漏洞,所有Oracle EBS 11i环境应介绍限制已启用的Mod_PLSQL网页。 脚本/patch/115/sql/txkdisablemodplsql.sql可用于限制fnd_enabled_plsql中列出的允许页面。 此脚本在11i.atg_pf.h中引入,最新版本在11i.atg_pf.h.rup7中。 这必须彻底测试,因为它可能阻止组织使用的几个Mod_PlSQL页面。 查看模式'/ PLS /'的Apache Web日志,以查看正在积极使用哪些mod_plsql页面。 此修复程序包含并作为2016年1月CPU的一部分实施。

12.0建议书

  1. 由于12.0的任何安全补丁都没有使用,建议是在可能的情况下升级到12.1或12.2。
  2. 如果升级不可行,则Entifigy的AppDefend,Oracle EBS的应用程序防火墙为EBS Web安全漏洞提供了虚拟修补程序,以及阻止常用Web漏洞,如SQL注入和跨站点脚本(XS)。 AppDefend在升级EBS不可行时是一种简单的实施和经济高效的解决方案。

12.1建议书

  1. CPU至2019年10月,CPU支持12.1,以实现最低基准的实施。 目前的最小基线是12.1.3应用技术堆栈(R12.ATG_PF.B.Delta.3)。 除非特定于一定数量的功能模块(即,GL,AR,AP等),否则此最低基线应保持一致。
  2. 对于应用CPU补丁的组织不可行,在发布的30天内或因特网面临自助服务模块(即,iSupplier,istore等),AppDefend应该用于提供已知的虚拟修补,尚未修补的Web安全性漏洞和阻止常见的Web安全漏洞,如SQL注入和跨站点脚本(XSS)。

12.2建议书

  1. 12.2通过7月2021年的CPU支持,因为12.2没有扩展支持。 目前的最小基线是12.2.3加上卷起补丁r12.ad.c.delta.7和r12.txk.c.delta.7。 积分预期预期最小基线将被释放为12.2的新RUP(12.2.x)。 您的规划应预测2017年最低基准将于2017年和2019年的12.2.5款,释放12.2.6和12.2.7。 随着12.3的潜在释放,将来可能需要最低为12.2.7的基线。
  2. 对于应用CPU补丁的组织不可行,在发布的30天内或因特网面临自助服务模块(即,iSupplier,istore等),AppDefend应该用于提供已知的虚拟修补,尚未修补的Web安全性漏洞和阻止常见的Web安全漏洞,如SQL注入和跨站点脚本(XSS)。

EBS数据库建议

  1. 截至2015年10月CPU,唯一的CPU支持的数据库版本为11.2.0.4,12.1.0.1和12.1.0.2。 11.1.0.7和11.2.0.3 CPU支持截至2015年7月。 12.1.0.1的最终CPU将是2016年7月。
  2. 尽可能,所有EBS环境应升级到11.2.0.4或12.1.0.2,这些EBS版本支持包括11.5.10.2。
  3. 如果无法以及时应用数据库安全修补程序(SPU或PSU),则唯一有效的缓解控制是严格限制直接数据库访问。 为了限制数据库访问,Integrigy建议使用EBS功能托管SQLNET访问,Oracle Connection Manager,网络限制和防火墙规则和/或终端服务器和Bastion主机。
  4. 无论是否经常应用安全修补程序,都应该为所有EBS数据库进行更改数据库密码,优化初始化参数和启用审计等常规数据库硬化。

 Share this post

订阅RSS.

将我们添加到您最喜欢的新闻读者。

在推特上关注

获取最新的更新。