Oracle E-Business Suite环境可能会或可能不容易受到攻击 “Heartbleed”openssl漏洞(CVE-2014-0160) 根据部署架构。 Oracle在Oracle支持笔记ID中发布了指导 1645479.1 “openssl安全漏洞” (需要支持登录) 毫不犹豫地陈述Oracle E-Business Suite并不脆弱。 但是,许多Oracle E-Business Suite环境是以这样的方式成型的,即Oracle E-Business Suite应用程序服务器上未执行SSL终止,而是由负载均衡器,反向代理或SSL加速器执行SSL终端。 必须审查Oracle E-Business Suite环境架构以确定SSL终端点的位置。

  • 如果SSL终止点是使用捆绑应用服务器组件(Oracle Application Server或Oracle Fusion中间件)的Oracle E-Business Suite应用程序服务器,那么Oracle E-Business Suite环境并不容易受到旧的非易受攻击版本的OpenSSL使用或非openSSL组件使用,具体取决于Oracle E-Business Suite的版本。
  • 如果SSL终端点是负载均衡器,反向代理或SSL加速器,则为环境 可能很脆弱 逐步openssl漏洞。 有多种推荐和经常部署的产品,例如F5 Big-IP和Apache,openssl易受攻击。

有关详细信息,请参阅Integley对Oracle E-Business Suite对Quallbleed漏洞影响的深入安全分析。

标签: 
漏洞, DMZ /外部, Oracle E-Business Suite