Oracle Tricon Patch更新2017年10月Oracle E-Business Suite分析和影响

与几乎所有以前的Oracle E-Business Suite关键补丁更新(CPU),2017年10月季度补丁是显着和高风险的。过去52季度的47季度是显着的和高风险,因为它们在Oracle E-Business Suite的Web应用程序中修复了一个或多个SQL注入漏洞或其他损坏的安全漏洞。尽管宣传,营销或命名的特定漏洞,但本季度在您组织内的风险和优先级方面没有与以前的季度不同。

在本季度,有3个SQL注入漏洞,16个横向网站脚本(XSS)漏洞,3个信息披露,以及4种其他类型的漏洞固定。 最重要的是26个漏洞中的25个无需认证即可远程利用。

外部面对Oracle E-Business Suite环境(DMZ)运行的istore或Isupport应该立即采取行动,以减轻影响istore的两个漏洞和影响Isupport(和知识管理)的四个漏洞。 如果启用了istore或iSupport模块,则URL防火墙允许这些网页。 所有六个都是跨站点脚本(XSS)漏洞,这需要与最终用户的交互,例如单击链接,但允许攻击者劫持最终用户会话。

2017年10月建议书

与几乎所有严重的补丁更新一样,安全漏洞修复是显着和高风险的。 应立即为所有Oracle E-Business Suite环境进行纠正措施。风险实现中最多的是运行的Internet面对自助服务模块(即istore,Isupplier,Isupport等),并且由于可以在没有身份验证的情况下可以远程剥离的SQL注入漏洞的数量,因此CPU作为严重风险的Integrigry Rates 。  这些实现应(1)尽快应用CPU或使用虚拟修补解决方案,如AppDefend和(2),请确保根据EBS特定说明正确配置DMZ,EBS URL防火墙已启用和优化。

大多数Oracle E-Business Suite环境不及时应用CPU安全补丁,并且通过利用多种漏洞,容易妥协。如果CPU无法快速应用,则唯一有效的替代方案是使用Integigy的AppDefend,用于Oracle E-Business Suite的应用程序防火墙。 AppDefend提供虚拟修补,可以有效地替换EBS Web安全漏洞的修补。

Oracle E-Business Suite 11i

截至2016年4月,11i CPU补丁仅适用于具有第1层支持的Oracle客户。 Integigy对2017年10月CPU的分析显示26个漏洞中的至少18个也在11i中可利用。 11i没有Tier 1支持的环境应为Oracle E-Business实现Web应用程序防火墙和虚拟修补,以便修复大量未分割的安全漏洞。 截至2017年10月,不支持的Oracle E-Business Suite 11i Environment将有大约170个未分割的漏洞 - 其中一些是高风险的SQL注入安全错误。

11i Tier 1支持已于2018年12月扩展,2018年10月将是Oracle E-Business Suite 11i的最终CPU。

Oracle E-Business Suite 12.0

CPU对Oracle E-Business Suite 12.0终止2015年1月12日,此版本没有安全修复。 Integigy对CPU的分析显示26个漏洞中的至少22个是12.0的可利用。为了保护您的应用程序环境,Oracle E-Business Suite的积分Appdefend应用程序防火墙为所有这些可利用的Web安全漏洞提供虚拟修补程序。

 Share this post