以下是Oracle对即将推出的09年7月Oracle关键补丁更新(CPU)预发布版本通告的简要分析。
1. 总的来说,在此次更新里有33个安全漏洞将被修复,这是一个在以往的更新的范围内的平均值(09年,4月=43个、1月=41个;08年,10月=36个、7月=45个、4月=41个、1月=26个;07年,10月=51个,7月=45个、4月=36个、1月=51个;06年,10月=101个1月=80个)。
2. 该产品与漏洞的结合似乎与以往的更新相似,所有的更新支持包括Oracle数据库,Oracle应用程序服务器和Oracle电子商务套件版本,正在获取的支持版本列表非常短,在应用该更新的安全补丁前,应当仔细核查该版本是否需要升级。
◆数据库包括:主平台的9.2.0.8, 10.1.0.5, 10.2.0.3, 10.2.0.4, 11.1.0.6, 和11.1.0.7
◆应用程序服务器:9.0.4.3, 10.1.2, 和 10.1.3
◆电子商务套件:11.5.10.x, 12.0.x, 和 12.1.x
3. 此次更新的显著部分是Oracle数据库中的三个无需鉴证的可远程利用的漏洞。拥有单个无需鉴证的远程可利用漏洞已属罕见,那么拥有三个此类漏洞显然是一个显著的、高优先级的更新。很可能此三个漏洞包含于侦听器、网络验证和网络基础组件中。
4. 此次更新,主版本没有重大变化。
Oracle 数据库
1. 10个数据库漏洞中有三个无需鉴证的远程可利用漏洞。如之前所示,此三个无需鉴证的远程可利用漏洞足以使之成为过去三年内最关键的季度性版本之一。
2. 该三个无需鉴证的远程可利用漏洞最有可能包含于侦听器、网络验证和网络基础中,其中一个漏洞的CVSS(评分)达到2.0 metric /9,使之成为一个高度关键补丁。
3. 类似于09年1月份的更新,此次也有两个关键漏洞(一个无需鉴证的远程可利用漏洞,另一个CVSS值是2.0 metric/10)。
Oracle应用程序服务器
1. 包含两个新的Oracle应用程序服务器漏洞,且均为无需鉴证的远程可利用漏洞。在以往的更新中,绝大多数Oracle应用程序服务器漏洞均趋于无需鉴证的远程可利用漏洞。此类漏洞位于核心HTTP服务器(Apache)和Oracle安全开发工具包内。最高的CVSS达到2.0 metric /5.0意味着极少风险。Oracle HTTP 服务器基于Apache服务器,Oracle几个月后为之前版本的Apache服务器漏洞提供安全修复。极有可能此核心HTTP服务器漏洞是修复之前发布版本的Apache服务器的漏洞。
Oracle电子商务套件11i和R12
1. 存在8个新的Oracle电子商务套件11i和R12漏洞,其中5个是无需鉴证的远程可利用漏洞。
2. 最有兴趣的是网上供应商的门户网站(iSupplier Portal)和网络商店(iStore)的漏洞, 此类外部式网际网路的执行可能要求立即安装补丁。
3. 这是12.1的首个更新补丁。
预计影响:
1. 该季度Oracle数据库的更新的重要性可能高于以往更新。
与以往所有的更新相比,该季度的安全补丁非常重要,而且应该粘贴至已安装程序,记录以往使用过的更新时间。
【编辑推荐】
