Oracle关键补丁更新2018年7月Oracle E-Business Suite分析和影响

与几乎所有以前的Oracle E-Business Suite关键补丁更新(CPU),2018年7月季度补丁是显着和高风险的。过去55季度的51个季度修补程序具有显着和高风险,因为它们在Oracle E-Business Suite的Web应用程序中修复了一个或多个SQL注入漏洞或其他损坏的安全漏洞。尽管宣传,营销或命名的特定漏洞,但本季度在您组织内的风险和优先级方面没有与以前的季度不同。

在本季度,有10个跨站点脚本(XSS)漏洞和4种其他类型的漏洞固定。 最重要的是,14个漏洞中的13个无需认证即可远程利用。

运行istore的外部面向Oracle E-Business Suite环境(DMZ)应该立即采取行动来缓解影响istore的三个漏洞。 如果启用了istore模块,则URL防火墙允许这些网页。 三个中的两个是跨站点脚本(XSS)漏洞,这需要与最终用户的交互,例如单击链接,但允许攻击者劫持最终用户会话。

2018年7月建议

与几乎所有严重的补丁更新一样,安全漏洞修复是显着和高风险的。 应立即为所有Oracle E-Business Suite环境进行纠正措施。风险实现中最多的是运行Internet面临的自我服务模块(ISTORE for此CPU),并且由于大量跨站点脚本(XSS)漏洞而无法在没有身份验证的情况下远程剥离的漏洞导致的高风险。  这些实现应(1)尽快应用CPU或使用虚拟修补解决方案,如AppDefend和(2),请确保根据EBS特定说明正确配置DMZ,EBS URL防火墙已启用和优化。

大多数Oracle E-Business Suite环境不及时应用CPU安全补丁,并且通过利用多种漏洞,容易妥协。如果CPU无法快速应用,则唯一有效的替代方案是使用Integigy的AppDefend,用于Oracle E-Business Suite的应用程序防火墙。 AppDefend提供虚拟修补,可以有效地替换EBS Web安全漏洞的修补。

Oracle E-Business Suite 12.1和12.2修补

12.2,有 与r12.ad.c.delta.10和r12.txk.c.delta.10卷起修补程序没有从r12.ad.c.delta.10和r12.txk.c.delta.10汇总的最小基线。 除了累积EBS安全补丁,2018年7月WebLogic 必须应用10.3.6 PSU(PSU 10.3.6.0.180717 - 补丁27919965)。

对于12.1,从前一个CPU没有显着的变化,主要要求是Oracle Application Server必须升级到10.1.3.5。 Oracle Application Server不需要安全修补程序。

只有12.1.0.2和11.2.0.4 支持Oracle数据库的版本,如果尚未升级,则必须升级数据库,以便应用本季度的数据库安全修补程序。 对于数据库,有一个OJVM 安全补丁,因此必须应用组合修补程序或单独的OJVM 必须应用补丁以纠正数据库中的Java虚拟机(JVM)中的漏洞,该数据库由Oracle E-Business Suite使用。

Oracle E-Business Suite 12.0

CPU对Oracle E-Business Suite 12.0终止2015年1月12日,此版本没有安全修复。 积分对CPU的初步分析显示所有14个漏洞都在12.0中可利用。为了保护您的应用程序环境,Oracle E-Business Suite的积分Appdefend应用程序防火墙为所有这些可利用的Web安全漏洞提供虚拟修补程序。

Oracle E-Business Suite 11i

截至2016年4月,11i CPU补丁仅适用于具有第1层支持的Oracle客户。 Integigy对2018年7月CPU的分析表明14件漏洞中的至少6个也在11i中可利用。 11I没有Tier 1支持的环境应该为Oracle E-Business Suite实现Web应用程序防火墙和虚拟修补,以便修复大量未划分的安全漏洞。 截至2018年7月,不支持的Oracle E-Business Suite 11i Environment将有大约200个未分割的漏洞 - 其中一些是高风险的SQL注入安全错误。

11i Tier 1支持已于2018年12月扩展,2018年10月将是Oracle E-Business Suite 11i的最终CPU。 此时,如果Oracle将再次扩展到另一年,则目前尚不清楚,因此  组织应该计划不扩展支持,并采取纠正措施以确保其环境得到适当的保障。

CVES参考:CVE-2018-2993,CVE-2018-2995,CVE-2018-3018,CVE-2018-3008,CVE-2018-2953,CVE-2018-2997,CVE-2018-2997,CVE-2018-2997 ,CVE-2018-3012,CVE-2018-2996,CVE-2018-2954,CVE-2018-2988,CVE-2018-2934,CVE-2018-2994

 Share this post