Oracle 重要补丁更新公告 — 2009 年 4 月 描述 重要补丁更新是针对多个安全漏洞的补丁集合。它还包含这些安全补丁因依赖关系而需要的非安全修复程序。重要补丁更新是累积式的(除以下注明外),但是每个公告只描述自上一个重要补丁更新以来添加的安全修复程序。因此,要了解有关以前累积的安全修复程序的信息,应该查看以前的重要补丁更新公告。请参见 重要补丁更新和安全警报 ,以获得有关 Oracle 安全性公告的信息。 考虑到成功攻击所带来的威胁,Oracle 强烈建议用户尽快应用修复程序。该重要补丁更新包含涉及所有产品的 43 个新安全修复程序。 受支持的产品和受影响的组件 该重要补丁更新解决的安全漏洞将影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在产品版本后面的 [方括号] 中。请单击 [方括号] 或可用补丁表中的链接,查看这些补丁的文档。 首选支持或扩展支持(位于 Oracle 生命周期策略下)中的产品版本:
| • Oracle 数据库 11g,版本 11.1.0.6、11.1.0.7 | [ 数据库 ] | | • Oracle 数据库 10g 第 2 版,版本 10.2.0.3、10.2.0.4 | [ 数据库 ] | | • Oracle 数据库 10g,版本 10.1.0.5 | [ 数据库 ] | | • Oracle 数据库 9i 第 2 版,版本 9.2.0.8、9.2.0.8DV | [ 数据库 ] | | • Oracle 应用服务器 10g 第 2 版 (10.1.2),版本 10.1.2.3.0 | [ 应用服务器 ] | | • Oracle Outside In SDK HTML Export 8.2.2、8.3.0 | [ 应用服务器 ] | | • Oracle XML Publisher 5.6.2、10.1.3.2、10.1.3.2.1 | [ 应用服务器 ] | | • Oracle BI Publisher 10.1.3.3.0、10.1.3.3.1、10.1.3.3.2、10.1.3.3.3、10.1.3.4 | [ 应用服务器 ] | | • Oracle 电子商务套件第 12 版,版本 12.0.6 | [ 电子商务套件 ] | | • Oracle 电子商务套件第 11i 版,版本 11.5.10.2 | [ 电子商务套件 ] | | • PeopleSoft Enterprise PeopleTools 版本: 8.49 | [ PeopleSoft/JDE ] | | • PeopleSoft Enterprise HRMS 版本:8.9 和 9.0 | [ PeopleSoft/JDE ] | | • Oracle WebLogic Server 10.3 | [ BEA ] | | • Oracle WebLogic Server 9.0 GA、9.1 GA、9.2 到 9.2 MP3 | [ BEA ] | | • Oracle WebLogic Server 8.1 到 8.1 SP6 | [ BEA ] | | • Oracle WebLogic Server 7.0 到 7.0 SP7 | [ BEA ] | | • -Oracle WebLogic Portal 8.1 到 8.1 SP6 | [ BEA ] | | • Oracle Data Service Integrator 10.3.0 和 Oracle AquaLogic Data Services Platform(以前的 BEA ALDSP)3.2、3.0.1、3.0 | [ BEA ] | | • Oracle JRockit(以前的 BEA JRockit)R27.6.2 及早期版本(JDK/JRE 6、5、1.4.2) | [ BEA ] |
可用补丁表与风险表 带有累积式补丁的产品 更新中的 Oracle 数据库、Oracle 应用服务器、Oracle 企业管理器网格控制、Oracle 电子商务套件应用程序(仅第 12 版)、JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft Enterprise Portal Applications、PeopleSoft Enterprise PeopleTools 及 Siebel Enterprise 补丁均是累积式的;重要补丁更新中包含的任何产品补丁都包含之前的重要补丁更新中针对该产品的修复程序。 带有非累积式补丁的产品 Oracle 电子商务套件应用程序 11i 版的补丁不是累积式的,因此 Oracle 电子商务套件应用程序客户如果要应用先前的安全修复程序,应到之前的重要补丁更新中查找。Oracle 协作套件补丁是累积式的,它包括在 2007 年 7 月的重要补丁更新中提供的修复程序。从 2007 年 7 月的重要补丁更新开始,Oracle 协作套件安全修复程序将使用一次性补丁基础架构提供,Oracle 通常使用该基础架构为客户提供单个的错误修复程序。BEA 产品的补丁不是累积式的(除非另有说明),因此 BEA 客户应参考以前的安全公告以确定要应用的先前的安全修复程序。 对于所管理的每个 Oracle 产品,请在文档中查阅下表中提到的可用补丁信息和安装说明。有关与该重要补丁更新相关的 Oracle 产品文档概述,请参阅 2009 年 4 月 Oracle 重要补丁更新文档概述 My Oracle Support 说明 798344.1。
风险表内容
风险表只列出与该公告有关的补丁新修复的安全漏洞。之前的安全修复程序的风险表包含在之前的重要补丁更新公告中。 该重要补丁更新提出的几个漏洞影响着多个产品。同一个漏洞在所有风险表中显示时使用相同的 漏洞号。 斜体 表明其他产品领域中包含的代码中的漏洞。 安全漏洞使用 CVSS 2.0 版进行评估(请参阅用于解释 Oracle 如何应用 CVSS 2.0 的 Oracle CVSS 评估系统)。Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及成功利用的可能结果的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析其自己的风险。出于策略方面的原因,Oracle 不会透露有关可能会导致漏洞被成功利用的利用条件或结果的详细信息。Oracle 不提供除 CPU 或安全警报通知、可用补丁表、自述文件和常见问题解答所提供信息以外的其他具体漏洞信息。Oracle 不向个别客户提供有关 CPU 或安全警报的预先通知。最后,Oracle 不会针对产品漏洞发布可利用的入侵代码或“验证性”代码。 变通方法 考虑到成功攻击所带来的威胁,Oracle 强烈建议用户尽快应用修复程序。如果不应用 CPU 修复程序,则无法通过限制攻击所需的网络协议来降低成功攻击的风险。对于需要特定权限或者需要访问特定程序包的攻击,删除无特权用户的权限或者使其无法访问这些程序包可能有助于降低成功攻击的风险。这两种方法都有可能损害应用程序功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。 跳过重要补丁更新 如前所述,Oracle 强烈建议用户尽快应用修复程序。 之前重要补丁更新公告中具有安全修复程序的下列产品没有新的安全修复程序: 不受支持的产品和不受支持的版本 不受支持的产品和版本没有测试过是否存在该重要补丁更新提出的安全漏洞。但是,早期的受影响的版本也可能会受这些安全漏洞的影响。因此,Oracle 建议客户将其 Oracle 产品更新到受支持的版本。 不再为生命周期支持策略的首选支持或扩展支持阶段中不再涵盖的产品版本提供重要补丁更新补丁。我们建议客户升级至最新的受支持 Oracle 产品版本,以获取补丁。 扩展支持阶段: 已购买生命周期支持策略下的扩展支持的客户可以使用重要补丁更新补丁。客户必须具有有效的扩展支持服务合同,才能在扩展支持阶段下载重要补丁更新补丁。更新通过持续支持来支持的产品或更新任何不受支持的产品无需下载重要补丁更新补丁。 受支持的数据库、融合中间件、EM 网格控制和协作套件产品根据软件错误更正支持策略(参见 My Oracle Support 说明 209768.1)进行修补。有关支持策略和支持阶段的详细指南,请查看技术支持策略。 Oracle 数据库和 Oracle 应用服务器的 应请求 模型 Oracle 将仅为客户要针对下一个重要补丁更新(基于历史数据)下载的平台/版本组合预先创建补丁。只要客户要求,我们将为以前固定的 Oracle 数据库和 Oracle 应用服务器的平台/版本组合创建补丁。未来版本和补丁集中将继续包含漏洞修复程序。 有关下一个重要补丁更新支持的产品、版本和平台以及“应请求”补丁的请求流程的其他详细信息,请参阅 2009 年 4 月 的重要补丁更新中针对 Oracle 产品的可用补丁文档( My Oracle Support 说明 786800.1)。 致谢声明 该重要补丁更新提出的安全漏洞由以下人员或组织发现并向 Oracle 报告:Secunia Research 的 Dyon Balding;iDefense 的 Joshua J. Drake;Qualys, Inc. 的 Gerhard Eschelbeck;Application Security, Inc. 的 Esteban Martinez Fayo;Red Database Security 的 Franz Huell;Neohapsis, Inc. 的 Mike Janowski;Joxean Koret;TippingPoint (3com) 的 Joxean Koret;Red Database Security 的 Alexander Kornbrust;NGS Software 的 David Litchfield;Tanel Poder;Trivadis 的 Sven Vetter;以及 Dennis Yurichev。 深度安全贡献者 Oracle 向这些为我们的深度安全计划作出贡献的人表示感谢(参见常见问题解答)。对于导致在以后版本中大量修改 Oracle 代码或文档但是严重程度不足以归类到重要补丁更新中的安全漏洞问题,如果有人提供相关的信息、发现或建议,则会因为深度安全作出贡献而受到褒奖。 在本次重要补丁更新中,Oracle 感谢 iDefense 的 Joshua J. Drake、iDefense 的 Joxean Koret、Red Database Security 的 Alexander Kornbrust、NGS Software 的 David Litchfield、Copenhagen Business School 的 Jesper Haure Norrevang、Red Database Security 的 Gunther Pipperr、Application Security, Inc. 的 Vivek Rathod、Imperva, Inc. 的 Amichai Shulman 以及 Trivadis 的 Sven Vetter 对 Oracle 的深度安全计划做出的贡献。 重要补丁更新日程表 重要补丁更新在距 1 月、4 月、7 月和 10 月的第 15 日最近的星期二发布。接下来的四个日期为: - 2009 年 7 月 14 日
- 2009 年 10 月 13 日
- 2010 年 1 月 12 日
- 2010 年 4 月 13 日
参考资料 修改历史
| 2009 年 4 月 16 日 | 修订版 2 在深度安全贡献者中新加了 Imperva, Inc. 的 Amichai Shulman | | 2009 年 4 月 14 日 | 修订版 1 初始版本 |
附录 A — Oracle 数据库 Oracle 数据库执行概要 该重要补丁更新包含 16 个适用于 Oracle 数据库服务器的新安全修复程序。其中 2 个漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。所有这些修复程序都不适用于仅具有客户端的安装(即,没有安装 Oracle 数据库的安装)。 Oracle 数据库风险表 | 漏洞号 | 组件 | 协议 | 所需的程序包和/或权限 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 最后受影响的补丁集(每个受支持版本) | 附注 | | 基本评分 | 访问向量 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | | CVE-2009-0979 | Resource Manager | Oracle Net | 创建会话 | 否 | 9.0 | 网络 | 低 | 一次性 | 全 | 全 | 全 | 9.2.0.8、9.2.0.8DV | | | CVE-2009-0985 | Core RDBMS | Oracle Net | IMP_FULL_DATABASE 角色 | 否 | 7.1 | 网络 | 高 | 一次性 | 全 | 全 | 全 | 10.1.0.5, 10.2.0.4, 11.1.0.6 | 参见注释 1 | | CVE-2009-0972 | 工作区管理器 | Oracle Net | 创建会话 | 否 | 6.5 | 网络 | 低 | 一次性 | 部分+ | 部分+ | 部分+ | 无,参见注释 | 参见注释 2 | | CVE-2009-0977 | 高级队列 | Oracle Net | DBMS_AQIN 上的执行权限 | 否 | 5.5 | 网络 | 低 | 一次性 | 部分+ | 部分+ | 无 | 9.2.0.8、9.2.0.8DV、10.1.0.5 和 10.2.0.3 | | | CVE-2009-0992 | 高级队列 | Oracle Net | DBMS_AQIN 上的执行权限 | 否 | 5.5 | 网络 | 低 | 一次性 | 部分+ | 部分+ | 无 | 10.1.0.5, 10.2.0.4, 11.1.0.7 | | | CVE-2009-0984 | Database Vault | Oracle Net | DBMS_SYS_SQL 上的执行权限 | 否 | 5.5 | 网络 | 低 | 一次性 | 部分+ | 部分+ | 无 | 9.2.0.8DV、10.2.0.4 和 11.1.0.6 | | | CVE-2009-0980 | SQLX Functions | Oracle Net | AGGXQIMP 上的执行权限 | 否 | 5.5 | 网络 | 低 | 一次性 | 无 | 部分+ | 部分+ | 10.2.0.3, 11.1.0.6 | | | CVE-2009-0975 | 工作区管理器 | Oracle Net | 创建会话 | 否 | 5.5 | 网络 | 低 | 一次性 | 部分+ | 部分+ | 无 | 10.2.0.4, 11.1.0.6 | | | CVE-2009-0976 | 工作区管理器 | Oracle Net | LTADM 上的执行权限 | 否 | 5.5 | 网络 | 低 | 一次性 | 部分+ | 部分+ | 无 | 10.2.0.4, 11.1.0.6 | | | CVE-2009-0978 | 工作区管理器 | Oracle Net | 创建会话 | 否 | 5.5 | 网络 | 低 | 一次性 | 部分+ | 部分+ | 无 | 10.2.0.4, 11.1.0.6 | | | CVE-2009-0986 | 工作区管理器 | Oracle Net | 创建过程 | 否 | 5.4 | 网络 | 中 | 多种 | 部分+ | 部分+ | 部分+ | 10.2.0.4, 11.1.0.6 | | | CVE-2009-0973 | Cluster Ready Services | Oracle Net | 无 | 是 | 5.0 | 网络 | 低 | 无 | 无 | 无 | 部分+ | 10.1.0.5 | | | CVE-2009-0991 | 监听程序 | Oracle Net | 无 | 是 | 5.0 | 网络 | 低 | 无 | 无 | 无 | 部分+ | 9.2.0.8、9.2.0.8DV、10.1.0.5、10.2.0.4 和 11.1.0.7 | | | CVE-2009-0981 | Application Express | HTTP | APEX 开发人员用户 | 否 | 4.0 | 网络 | 低 | 一次性 | 部分+ | 无 | 无 | 11.1.0.7 | 参见注释 3 | | CVE-2009-0997 | Database Vault | Oracle Net | DBMS_SYS_SQL 上的执行权限 | 否 | 4.0 | 网络 | 低 | 一次性 | 部分+ | 无 | 无 | 11.1.0.6 | | | CVE-2009-0988 | Password Policy | Oracle Net | 创建会话 | 否 | 2.1 | 网络 | 高 | 一次性 | 部分+ | 无 | 无 | 11.1.0.6 | | 注: - 此利用需要非常高的权限以导入完整的数据库。10.1.0.5 Windows 版本不需要此安全修复程序。
- 此错误在所有受支持的工作区管理器版本中得到修复。
- 请参阅 Application Express 概述部分获得其他信息。
仅具有 Oracle 数据库服务器客户端的安装 没有影响仅具有 Oracle 数据库服务器客户端的安装(没有安装 Oracle 数据库服务器的安装)的新漏洞。
Oracle Application Express 概述 Oracle Application Express 是一个适用于 Oracle 数据库的快速 Web 应用程序开发工具。在 Oracle 数据库 10g 第 2 版及早期版本中, Oracle Application Express 是通过 Oracle 数据库 CD 集中的随附 CD 或从 Oracle 网站下载的程序包单独安装的。如果您尚未通过随附 CD 或从 Orace 网站下载的程序包安装 Oracle Application Express,则无需进一步的操作。从 Oracle 数据库 11g 开始, Oracle Application Express 包括在 Oracle 数据库默认安装中。 如果 Oracle 数据库主目录下安装了 Oracle Application Express,则参考 2009 年 4 月的重要补丁更新中针对 Oracle 产品的可用补丁文档,My Oracle Support 说明 786800.1 以获得需要安装的版本。
附录 — Oracle 应用服务器 Oracle 应用服务器执行概要 该重要补丁更新包含 12 个适用于 Oracle 应用服务器的新安全修复程序。其中 3 个漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。所有这些修复程序都不适用于仅具有客户端的安装(即,没有安装 Oracle 应用服务器的安装)。 与 Oracle 数据库捆绑在一起的 Oracle 应用服务器产品受 Oracle 数据库部分中所列的漏洞影响。本部分并未对其作进一步讨论,也没有将它们列在 Oracle 应用服务器风险表中。
Oracle 应用服务器风险表 | 漏洞号 | 组件 | 协议 | 所需的程序包和/或权限 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 最后受影响的补丁集(每个受支持版本) | 附注 | | 基本评分 | 访问向量 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | | CVE-2009-0993 | OPMN | ONS | 无 | 是 | 7.5 | 网络 | 低 | 无 | 部分+ | 部分+ | 部分+ | 10.1.2.3 | | | CVE-2009-0989 | BI Publisher | HTTP | 无 | 否 | 5.5 | 网络 | 低 | 一次性 | 部分+ | 部分+ | 无 | 5.6.2, 10.1.3.2.1, 10.1.3.3.3 | 参见注释 1 | | CVE-2009-0990 | BI Publisher | HTTP | 无 | 否 | 5.5 | 网络 | 低 | 一次性 | 部分+ | 部分+ | 无 | 5.6.2, 10.1.3.2.1, 10.1.3.3.3 | 参见注释 1 | | CVE-2009-1008 | Outside In Technology | 无 | HTML Export | 否 | 4.4 | 本地 | 中 | 无 | 部分+ | 部分+ | 部分+ | 8.2.2, 8.3.0 | 参见注释 2 | | CVE-2009-1009 | Outside In Technology | 无 | HTML Export | 否 | 4.4 | 本地 | 中 | 无 | 部分+ | 部分+ | 部分+ | 8.1.9 | 参见注释 2 | | CVE-2009-1010 | Outside In Technology | 无 | HTML Export | 否 | 4.4 | 本地 | 中 | 无 | 部分+ | 部分+ | 部分+ | 8.2.2, 8.3.0 | 参见注释 2 | | CVE-2009-1011 | Outside In Technology | 无 | HTML Export | 否 | 4.4 | 本地 | 中 | 无 | 部分+ | 部分+ | 部分+ | 8.2.2, 8.3.0 | 参见注释 2 | | CVE-2009-0974 | Portal | HTTP | 无 | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 10.1.2.3, 10.1.4.2 | | | CVE-2009-0983 | Portal | HTTP | 无 | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 10.1.2.3, 10.1.4.2 | | | CVE-2009-0994 | BI Publisher | HTTP | 无 | 否 | 4.0 | 网络 | 低 | 一次性 | 部分+ | 无 | 无 | 5.6.2, 10.1.3.2.1, 10.1.3.3.3, 10.1.3.4 | 参见注释 1 | | CVE-2009-0996 | BI Publisher | HTTP | 无 | 否 | 4.0 | 网络 | 低 | 一次性 | 部分+ | 无 | 无 | 10.1.3.2.1, 10.1.3.3.3, 10.1.3.4 | 参见注释 1 | | CVE-2009-1017 | BI Publisher | HTTP | 无 | 否 | 4.0 | 网络 | 低 | 一次性 | 部分 | 无 | 无 | 5.6.2, 10.1.3.2.1, 10.1.3.3.3, 10.1.3.4 | 参见注释 1 | 注: - BI Publisher(以前称为 XML Publisher)版本 5.6.2、10.1.3.2 和 10.1.3.2.1
- Outside In Technology 是一个软件开发工具包 (SDK) 套件。它没有任何特定相关的协议。其权限受嵌入技术控制。根据托管软件,如果托管软件运行在根目录下并将通过网络收到的数据传递给 Outside In Technology 代码,CVSS 分数可达到 9.3。
仅具有 Oracle 应用服务器客户端的安装 没有影响仅具有 Oracle 应用服务器客户端的安装(没有安装 Oracle 应用服务器的安装)的新漏洞。
附录 — Oracle 电子商务套件和应用程序 Oracle 电子商务套件和应用程序执行概要 该重要补丁更新包含 3 个适用于 Oracle 应用产品的新安全修复程序。所有这些漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。所有这些修复程序都不适用于仅具有客户端的安装(即,没有安装 Oracle 应用产品的安装)。 Oracle 电子商务套件产品包括受 Oracle 数据库和 融合中间件部分中所列漏洞影响的 Oracle 数据库和 Oracle 融合中间件组件。Oracle 电子商务套件产品暴露在危险中的程度取决于所使用的 Oracle 数据库和融合中间件版本。Oracle 数据库和融合中间件安全修复程序没有列在 Oracle 电子商务套件风险表中,但是由于影响这些版本的漏洞可能会影响 Oracle 电子商务套件产品,因此 Oracle 建议客户将 2009 年 4 月的重要补丁更新应用到 Oracle 电子商务套件的 Oracle 数据库和融合中间件组件。有关详细信息,请参阅 2009 年 4 月重要补丁更新中针对 Oracle 电子商务套件的说明 787703.1。
Oracle 电子商务套件风险表 | 漏洞号 | 组件 | 协议 | 所需的程序包和/或权限 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 最后受影响的补丁集(每个受支持版本) | 附注 | | 基本评分 | 访问向量 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | | CVE-2009-0999 | Oracle Application Object Library | HTTP | 无 | 是 | 6.8 | 网络 | 中 | 无 | 部分+ | 部分+ | 部分+ | 12.0.6 | | | CVE-2009-0995 | Oracle Applications Framework | HTTP | 无 | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 12.0.6, 11i10CU2 | | | CVE-2009-1000 | Oracle Applications Technology Stack | HTTP | 无 | 是 | 0.0 | 网络 | 低 | 无 | 无 | 无 | 无 | 12.0.6、11i10CU2 | 参见注释 1 | 注: - 该补丁提供默认的口令检查器,帮助站点发现应用程序用户(非 DB 用户)的默认口令。有关具体用法,请参见自述文件。
仅具有 Oracle 应用产品客户端的安装 没有影响仅具有 Oracle 应用产品客户端的安装(没有安装 Oracle 应用产品的安装)的新漏洞。
附件 — Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 执行概要 该重要补丁更新包含 4 个适用于 PeopleSoft 和 JDEdwards 套件的新安全修复程序。其中 2 个漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。 Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 风险表 | 漏洞号 | 组件 | 协议 | 所需的程序包和/或权限 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 最后受影响的补丁集(每个受支持版本) | 附注 | | 基本评分 | 访问向量 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | | CVE-2009-1013 | PeopleSoft Enterprise PeopleTools | HTTP | 无 | 是 | 6.4 | 网络 | 低 | 无 | 部分 | 部分 | 无 | 8.49.19 | | | CVE-2009-1014 | PeopleSoft Enterprise PeopleTools | HTTP | 无 | 是 | 5.8 | 网络 | 中 | 无 | 部分 | 部分 | 无 | 8.49.19 | | | CVE-2009-0998 | PeopleSoft Enterprise HRMS - eBenefits | HTTP | 有效会话 | 否 | 5.5 | 网络 | 低 | 一次性 | 部分 | 部分 | 无 | 8.9.18, 9.0.8 | | | CVE-2009-0982 | PeopleSoft Enterprise PeopleTools | HTTP | 有效会话 | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 部分 | 无 | 8.49.19 | |
附录 — BEA 产品套件 BEA 产品执行概要 该重要补丁更新包含 8 个适用于 BEA 产品套件的新安全修复程序。其中 5 个漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。 请注意, My Oracle Support 说明 786800.1 以 Oracle 标准格式提供了有关 BEA 的公告补丁信息。为了使该 CPU 轻松过渡,该补丁信息还在 BEA 归档位置以原来的格式提供。从 2009 年 7 月的 CPU 开始,补丁信息将仅以 Oracle 标准格式提供。
BEA 产品套件风险表 | 漏洞号 | 组件 | 协议 | 所需的程序包和/或权限 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 最后受影响的补丁集(每个受支持版本) | 附注 | | 基本评分 | 访问向量 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | | CVE-2009-1006 | JRockit | 无 | 无 | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | R27.6.2 和更早版本:SDK/JRE 1.4.2、JRE/JDK 5 和 JRE/JDK 6 | 参见注释 1 | | CVE-2009-1012 | WebLogic Server | HTTP | 适用于 Apache 和 IIS Web 服务器的插件 | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 10.3、10.0 MP1、9.2 MP3、9.1、9.0、8.1 SP6 和 7.0 SP7 | 参见注释 2 | | CVE-2009-1016 | WebLogic Server | HTTP | 适用于 Apache、Sun 和 IIS Web 服务器的插件 | 否 | 8.5 | 网络 | 中 | 一次性 | 全 | 全 | 全 | 10.3、10.0 MP1、9.2 MP3、9.1、9.0、8.1 SP6 和 7.0 SP7 | 参见注释 3 | | CVE-2009-1002 | WebLogic Server | HTTP | Servlet 容器 | 是 | 5.8 | 网络 | 中 | 无 | 部分 | 部分 | 无 | 10.3、10.0 MP1、9.2 MP3、9.1、9.0、8.1 SP6 和 7.0 SP7 | | | CVE-2009-1001 | WebLogic Portal | HTTP | 无 | 否 | 5.5 | 网络 | 低 | 一次性 | 部分 | 部分 | 无 | 8.1 SP6 | | | CVE-2009-1003 | WebLogic Server | HTTP | Servlet 容器 | 是 | 5.0 | 网络 | 低 | 无 | 无 | 部分 | 无 | 10.3、10.0 MP1、9.2 MP3、9.1 和 9.0 | | | CVE-2009-1005 | Oracle Data Service Integrator (AquaLogic Data Services Platform) | 无 | 无 | 否 | 4.1 | 本地 | 中 | 一次性 | 部分+ | 部分+ | 部分+ | 10.3.0, 3.2, 3.0.1, 3.0 | | | CVE-2009-1004 | WebLogic Server | HTTP | Web 服务 | 是 | 4.0 | 网络 | 高 | 无 | 部分 | 部分 | 无 | 10.3 | | 注: - 2008 年 12 月,Sun MicroSystems 发布了一个安全警报,以解决多个影响 Sun Java 运行时环境的漏洞。Oracle CVE-2009-1006 包括 Sun 警报中所有适用于 JRockit 的公告。CVSS 分数显示了 JRockit 中所有修复的公告的最高分数(由 NVD 计算)。JRockit 中解决的所有公告的完整列表如下: CVE-2008-5345、 CVE-2008-5347、 CVE-2008-5348、 CVE-2008-5349、 CVE-2008-5350、 CVE-2008-5351、 CVE-2008-5352、 CVE-2008-5353、 CVE-2008-5354、 CVE-2008-5356、CVE-2008-5357、CVE-2008-5358、CVE-2008-5359 和 CVE-2008-5360
- 如果 Web 服务器作为 root 运行,则 10.0 是 CVSS 基本评分,因为会发生完整的机器接管。如果 Web 服务器没有作为 root 运行,7.5 是 CVSS 基本评分,因为不会发生完整的机器接管。 WebLogic 插件包括所有累积式错误修复程序,因此包括所有以前发布的公告中的修复程序。这些插件与所有 WebLogic Server 版本兼容。
- 如果 Web 服务器作为 root 运行,则 8.5 是 CVSS 基本评分,因为会发生完整的机器接管。如果 Web 服务器没有作为 root 运行,6.0 是 CVSS 基本评分,因为不会发生完整的机器接管。WebLogic 插件包括所有累积式错误修复程序,因此包括所有以前发布的公告中的修复程序。这些插件与所有 WebLogic Server 版本兼容。
附件 — 产品相关性 针对 CPU 修补的 Oracle 产品相关性 Oracle Beehive 协作软件 该重要补丁更新没有包含针对 Oracle Beehive 的新安全修复程序。Oracle Beehive 包括受 Oracle 数据库和 Oracle 应用服务器部分中所列漏洞影响的 Oracle 数据库和 Oracle 应用服务器组件。因此,Oracle 建议客户将 2009 年 4 月的重要补丁更新应用于 Oracle Beehive 协作软件的 Oracle 数据库和 Oracle 应用服务器组件。 Oracle 协作套件 该重要补丁更新没有包含针对 Oracle 协作套件的新安全修复程序。Oracle 协作套件包括受 Oracle 数据库和 Oracle 应用服务器部分中所列漏洞影响的 Oracle 数据库和 Oracle 应用服务器组件。因此,Oracle 建议客户将 2009 年 4 月的重要补丁更新应用于 Oracle 协作套件的 Oracle 数据库和 Oracle 应用服务器组件。 Oracle 企业管理器 该重要补丁更新没有包含针对 Oracle 企业管理器的新安全修复程序。 Oracle 企业管理器 10g 网格控制包含 Oracle 数据库和 Oracle 应用服务器组件,这些组件受 Oracle 数据库和 Oracle 应用服务器部分中所列漏洞的影响。Oracle 企业管理器特定安装的暴露程度取决于所使用的 Oracle 数据库和 Oracle 应用服务器版本。Oracle 建议客户将 2009 年 4 月的重要补丁更新应用到嵌入式 Oracle 数据库和 Oracle 应用服务器。 | 
主题
Printer View