Oracle 重要补丁更新公告 — 2010 年 4 月

描述

重要补丁更新是针对多个安全漏洞的补丁集合。它还包含这些安全补丁因依赖关系而需要的非安全修复程序。重要补丁更新是累积式的(除以下注明外),但是每个公告只描述自上一个重要补丁更新以来添加的安全修复程序。因此,要了解有关以前累积的安全修复程序的信息,应该查看以前的重要补丁更新公告。请参见:

重要补丁更新和安全警报,以获得有关 Oracle 安全性公告的信息。

考虑到攻击得逞所带来的威胁,Oracle 强烈建议用户尽快应用 CPU 修复程序。 该重要补丁更新包含针对下列所有产品系列的 47 个新的安全修复程序。

受支持的产品和受影响的组件

该重要补丁更新解决的安全漏洞将影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在产品版本后面的 [方括号] 中。请单击 [方括号] 或可用补丁表中的链接,查看这些补丁的文档。

Oracle 生命周期支持策略的首选支持或扩展支持中受影响的产品版本:

• Oracle Database 11g 第 2 版,版本 11.2.0.1     [ Database ]
• Oracle Database 11g 第 1 版,版本 11.1.0.7     [ Database ]
• Oracle Database 10g 第 2 版,版本 10.2.0.3、10.2.0.4     [ Database ]
• Oracle Database 10g,版本 10.1.0.5     [ Database ]
• Oracle Database 9i 第 2 版,版本 9.2.0.8、9.2.0.8DV     [ Database ]
• Oracle Application Server 10gR2,版本 10.1.2.3.0     [ 融合中间件 ]
• Oracle Identity Management 10g,版本 10.1.4.0.1 和 10.1.4.3     [ 融合中间件 ]
• Oracle Collaboration Suite 10g,版本 10.1.2.4     [ Collaboration Suite ]
• Oracle E-Business Suite 第 12 版,版本 12.0.4、12.0.5、12.0.6、12.1.1 和 12.1.2     [ E-Business Suite ]
• Oracle E-Business Suite 11i 版,版本 11.5.10、11.5.10.2     [ E-Business Suite ]
• Oracle Transportation Manager,版本 5.5.05.07、5.5.06.00、6.0.03     [ Oracle Transportation Management ]
• Oracle Agile - Engineering Data Management,版本 6.1.1.0     [ Agile - Engineering Data Management ]
• PeopleSoft Enterprise PeopleTools,版本 8.49 和 8.50     [ PeopleSoft/JDE ]
• Oracle Communications Unified Inventory Management 版本 7.1     [ 通信行业套件 ]
• Oracle Clinical Remote Data Capture Option 4.5.3、4.6     [ 生命科学行业套件 ]
• Oracle Thesaurus Management System 4.5.2、4.6、4.6.1     [ 生命科学行业套件 ]
• Oracle Retail Markdown Optimization 版本 13.1     [ 零售行业套件 ]
• Oracle Retail Place In-Season 版本 12.2     [ 零售行业套件 ]
• Oracle Retail Plan In-Season 版本 12.2     [ 零售行业套件 ]
• Oracle Sun 产品套件     [ Oracle Sun 产品套件 ]


可用补丁表与风险表

使用累积式补丁的产品

自 2010 年 1 月的 CPU 开始,Oracle E-Business Suite 11.5.10 版 CU2 补丁是累积式的。详情参阅 2010 年 4 月的 Oracle E-Business Suite 重要补丁更新说明

Oracle Database、Oracle 融合中间件、Oracle Enterprise Manager Grid Control、Oracle E-Business Suite 应用产品(11.5.10 版 CU2、12.0 和 12.1)、JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft Enterprise Portal 应用产品、PeopleSoft Enterprise PeopleTools 和 Siebel Enterprise 以及 Oracle 行业应用产品的更新补丁是累积式的;重要补丁更新中包含的针对任何上述产品的补丁将包含之前的重要补丁更新中针对该产品的所有修复程序。

使用非累积式补丁的产品

Oracle E-Business Suite 应用产品版本 11.5.10 的补丁不是累积式的,因此 Oracle E-Business Suite 应用产品的客户如果要应用的以前的安全修复程序,应参考以前的重要补丁更新进行查找。Oracle Collaboration Suite 的补丁是累积式的,它包括在 2007 年 7 月的重要补丁更新中提供的修复程序。从 2007 年 10 月的重要补丁更新开始,Oracle Collaboration Suite 的安全修复程序使用一次性补丁基础架构提供,Oracle 通常使用该基础架构为客户提供单个的错误修复程序。

对于所管理的每个 Oracle 产品,请查阅下表中提到的有关可用补丁信息和安装说明的文档。有关与该重要补丁更新相关的 Oracle 产品文档概述,请参阅 2010 年 4 月 Oracle 重要补丁更新文档概述 My Oracle Support 说明 981278.1

产品分组 风险表 可用补丁和安装信息
Oracle Database 附录 — Oracle Database 风险表 2010 年 4 月重要补丁更新中针对 Oracle 产品的可用补丁文档, My Oracle Support 说明 1060989.1
Oracle 融合中间件 附录 — Oracle 融合中间件风险表 2010 年 4 月重要补丁更新中针对 Oracle 产品的可用补丁文档, My Oracle Support 说明 1060989.1
Oracle Collaboration Suite
Beehive 协作软件		 附录 — Oracle Collaboration Suite 风险表 2010 年 4 月重要补丁更新中针对 Oracle 产品的可用补丁文档, My Oracle Support 说明 1060989.1
Oracle E-Business Suite 和应用产品 附录 — Oracle E-Business Suite 和应用产品风险表 2010 年 4 月 Oracle E-Business Suite 重要补丁更新说明, My Oracle Support 说明 985896.1
Oracle Enterprise Manager 该 CPU 没有相应的安全修复程序。
参见 附录 — 产品相关性,对相关产品应用补丁。		 2010 年 4 月重要补丁更新中针对 Oracle 产品的可用补丁文档, My Oracle Support 说明 1060989.1
Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 附录 — Oracle PeopleSoft 和 JD Edwards 应用产品风险表 针对 Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 的重要补丁更新知识文档, My Oracle Support 说明 1077118.1
Oracle Siebel Enterprise 该 CPU 没有相应的安全修复程序。 针对 Oracle Siebel Enterprise 的重要补丁更新知识文档, My Oracle Support 说明 1077118.1
Oracle Life Sciences Industry Suite 附录 — Oracle 行业套件风险表 2010 年 4 月重要补丁更新中针对 Oracle 生命科学应用产品的可用补丁文档, My Oracle Support 说明 1063379.1
Oracle Retail Industry Suite 附录 — Oracle 行业套件风险表 2010 年 4 月重要补丁更新中针对 Oracle 零售业产品的可用补丁文档, My Oracle Support 说明 1078890.1
Oracle Communications Industry Suite 附录 — Oracle 行业套件风险表 2010 年 4 月重要补丁更新中针对 Oracle 电信产品的可用补丁文档, My Oracle Support 说明 1076933.1
Oracle Sun 产品套件 附录 — Oracle Sun 产品套件风险表 2010 年 4 月重要补丁更新中针对 Oracle Sun 产品套件的 补丁发布文档


 

风险表内容



风险表只列出与公告涉及到的补丁新修复的安全漏洞。之前的安全修复程序的风险表包含在之前的重要补丁更新公告中。

该重要补丁更新提出的几个漏洞影响着多个产品。一个影响多个产品的漏洞将在所有风险表中显示相同的 漏洞号斜体 表明其他产品领域中包含的代码中的漏洞。

安全漏洞使用 CVSS 2.0 版进行评估(请参阅用于解释 Oracle 如何应用 CVSS 2.0 的 Oracle CVSS 评估系统)。Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及利用得逞的可能结果的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析其自己的风险。出于策略方面的原因,Oracle 不会透露有关可能会导致漏洞利用得逞的利用条件或结果的详细信息。Oracle 不提供除 CPU 或安全警报通知、可用补丁表、自述文件和常见问题解答所提供信息以外的其他具体漏洞信息。Oracle 不向个别客户提供有关 CPU 或安全警报的预先通知。最后,Oracle 不会针对产品漏洞发布可利用的入侵代码或“验证性”代码。

变通方法

考虑到攻击得逞所带来的威胁,Oracle 强烈建议客户尽快应用 CPU 修复程序。如果不应用 CPU 修复程序,则无法通过限制攻击所需的网络协议来降低攻击得逞的风险。对于需要特定权限或者需要访问特定程序包的攻击,对不需要这些权限的用户删除这些权限或者使其无法访问这些程序包可能有助于降低攻击得逞的风险。这两种方法都有可能损害应用程序功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。

漏掉的重要补丁更新

Oracle 强烈建议客户尽快应用安全修复程序。如果客户漏掉了一个或多个重要补丁更新,担心该 CPU 中未公布其修复程序的产品出现安全问题,请查看以前的重要补丁更新公告以确定要采取的行动。

产品相关性

Oracle 产品可能会有相关的产品需要应用该重要补丁更新中发布的安全漏洞修复程序。有关这些相关产品以及对相关产品应用补丁的详细信息,请参阅 2010 年 4 月重要补丁更新中针对 Oracle 产品的可用补丁文档

不受支持的产品和版本

Oracle 建议客户将其 Oracle 产品升级至受支持的版本。没有对不受支持的产品和版本测试过是否存在该重要补丁更新提出的安全漏洞。但是,很可能受影响的版本的那些早期版本也会受这些安全漏洞的影响。

不再为生命周期支持策略的首选支持或扩展支持阶段中不再涵盖的产品版本提供重要补丁更新补丁。我们建议客户升级至最新的受支持 Oracle 产品版本,以获取补丁。

处于扩展支持阶段的产品

已购买生命周期支持策略下的扩展支持的客户可以使用重要补丁更新补丁。客户必须具有有效的扩展支持服务合同,才能在扩展支持阶段下载重要补丁更新补丁。

受支持的 Database、融合中间件、EM Grid Control 和 Collaboration Suite 产品根据软件错误更正支持策略(参见 My Oracle Support 说明 209768.1)进行修补。有关支持策略和支持阶段的详细指南,请查看技术支持策略

Oracle Database 和 Oracle Application Server 的 应请求 模型

Oracle 仅为客户要针对下一个重要补丁更新(基于历史数据)下载的平台/版本组合预先创建补丁。只要客户要求,我们将为以前固定的 Oracle Database 和 Oracle Application Server 的平台/版本组合创建补丁。

有关“应请求”补丁的更多详情,请参阅 2010 年 4 月重要补丁更新中针对 Oracle 产品的可用补丁文档My Oracle Support 说明 1060989.1)。

致谢声明

该重要补丁更新解决的安全漏洞由以下人员或组织发现并向 Oracle 报告: 与 TippingPoint 的零时差项目合作的匿名研究人员;DORASEC Consulting 的 Okan Basegmez;Application Security, Inc. 的 Esteban Martinez Fayo;Tobias Klein;Joxean Koret;Red Database Security 的 Alexander Kornbrust;以前曾任职于 NGS Software 的 David Litchfield;HSC Security Portal 的 Oleg P. 和 Digital Security 的 Alexandr Polyakov。

深度安全贡献者

 

Oracle 向那些为我们的深度安全计划作出贡献的人表示感谢(参见常见问题解答)。对于导致在以后版本中大量修改 Oracle 代码或文档但是严重程度不足以归类到重要补丁更新中的安全漏洞问题,如果有人提供相关的信息、发现或建议,则会因为深度安全作出贡献而受到褒奖。

对于该重要补丁更新,Oracle 感谢 Red Database Security 的 Alexander Kornbrust、以前为 NGS Software 工作的 David Litchfield、Andrea Purificato 为深度安全计划作出贡献。

重要补丁更新日程表

重要补丁更新通常在距 1 月、4 月、7 月和 10 月的第 15 日最近的星期二发布。从 2011 开始,重要补丁更新依计划将在距 1 月、4 月、7 月和 10 月的第 17 日最近的星期二发布。接下来的四个日期为:

  • 2010 年 7 月 13 日
  • 2010 年 10 月 12 日
  • 2011 年 1 月 18 日
  • 2011 年 4 月 19 日

参考资料

修改历史


2010 年 4 月 13 日 修订版 1 初始版本



附录 — Oracle Database

Oracle Database 执行概要

该重要补丁更新包含 7 个针对 Oracle Database 服务器的新安全修复程序。其中不存在无需身份验证即可远程利用的漏洞(即,无人可以通过网络利用这些漏洞而无需用户名和口令)。所有这些修复程序都不适用于仅客户端的安装(即,没有安装 Oracle Database 服务器的安装)。


Oracle Database 风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2010-0853(Oracle 融合中间件) Oracle Internet Directory LDAP 7.5 网络 部分+ 部分+ 部分+ 9.2.0.8、9.2.0.8 DV  
CVE-2010-0860 Core RDBMS Oracle Net 具备创建用户的权限 7.1 网络 一次性 9.2.0.8、9.2.0.8DV、10.1.0.5、10.2.0.4 和 11.1.0.7  
CVE-2010-0866 JavaVM Oracle Net 具备创建会话的权限 6.5 网络 一次性 部分+ 部分+ 部分+ 11.1.0.7、11.2.0.1  
CVE-2010-0852 XML DB Oracle Net 具备创建会话的权限 5.5 网络 一次性 部分+ 部分+ 9.2.0.8、9.2.0.8DV、10.1.0.5 和 10.2.0.3  
CVE-2010-0867 JavaVM Oracle Net 具备创建会话的权限 4.0 网络 一次性 部分+ 10.2.0.4、11.1.0.7、11.2.0.1.0  
CVE-2010-0851 XML DB Oracle Net 具备创建会话的权限 4.0 网络 一次性 部分 9.2.0.8、9.2.0.8DV、10.1.0.5 和 10.2.0.3  
CVE-2010-0870 更改数据捕获 Oracle Net SYS.DBMS_CDC_PUBLISH 上的执行权限 3.6 网络 一次性 部分+ 部分+ 9.2.0.8、9.2.0.8DV  
CVE-2010-0854 审计 Oracle Net 具备对表执行 SELECT、INSERT 或 DELETE 操作以进行审计的权限 2.1 网络 一次性 部分+ 9.2.0.8、9.2.0.8DV、10.1.0.5、10.2.0.4 和 11.1.0.7  
 

 





Oracle Application Express 概述

Oracle Application Express 是一个适用于 Oracle Database 的快速 Web 应用程序开发工具。在 Oracle Database 10g 第 2 版及早期版本中,Oracle Application Express 是通过 Oracle Database CD 集中的随附 CD 或从 Oracle 网站下载的程序包单独安装的。从 Oracle Database 11g 开始,Oracle Application Express 包含在 Oracle Database 的默认安装中。

因此,对于已显式安装了 Oracle Application Express 或使用 Database 版本 11g 或更高版本的站点,请参阅 2010 年 4 月重要补丁更新中针对 Oracle 产品的可用补丁文档, My Oracle Support 说明 1060989.1 了解要安装的版本。



附录 — Oracle 融合中间件

Oracle 融合中间件执行概要

该重要补丁更新包含 5 个针对 Oracle 融合中间件的新安全修复程序。所有这些漏洞无需身份验证即可能被远程利用,即,无需输入用户名和口令即可能通过网络利用这些漏洞。   

与 Oracle Database 捆绑在一起的 Oracle 融合中间件产品受 Oracle Database 部分中所列的漏洞影响。本部分并未对其作进一步讨论,也没有将它们列在 Oracle 融合中间件风险表中。

注意: 此 CPU 中包括一个以前发布的针对 CVE-2010-0073 漏洞的安全修复程序,该漏洞可影响 Oracle WebLogic Server。其首个修复程序于 2010 年 2 月 4 日随一个安全警报一起发布。此漏洞的 CVSS 基本评分仅在 Windows 上对 WebLogic Server 版本 9.0 及更高版本为 10.0。其对机密性、完整性和可用性的影响为“全”。此漏洞的 CVSS 基本评分在 Linux、Unix 和其他平台上对 WebLogic Server 版本 9.0 及更高版本为 7.5。其对机密性、完整性和可用性的影响为“部分+”。其 CVSS 基本评分在所有平台上对 WebLogic Server 版本 7.0. 和 8.1 为 5.0。其对机密性和完整性的影响为“无”,对可用性的影响为“部分+”。详情参阅 Oracle CVE-2010-0073 安全警报

Oracle 融合中间件风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2010-0853 Oracle Internet Directory LDAP 7.5 网络 部分+ 部分+ 部分+ 10.1.2.3、10.1.4.0.1  
CVE-2010-0872 Oracle Internet Directory LDAP 5.0 网络 部分+ 10.1.2.3、10.1.4.3  
CVE-2010-0856 Portal HTTP 5.0 网络 部分 10.1.2.3、10.1.4.2  
CVE-2010-0086 Portal HTTP 4.3 网络 部分 10.1.2.3  
CVE-2010-0855 Portal HTTP 4.3 网络 部分 10.1.2.3  
 

 



附录 — Oracle Collaboration Suite

Oracle Collaboration Suite 执行概要

该重要补丁更新包含 1 个针对 Oracle Collaboration Suite 的新安全修复程序。此漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。该修复程序不适用于仅具有客户端的安装(即,没有安装 Oracle Collaboration Suite 的安装)。

该重要补丁更新不包含任何针对 Oracle Collaboration Suite 中代码内没有的 Oracle Application Server 漏洞的新修复程序。Oracle Collaboration Suite 绑定了 Oracle Database。 Oracle Database 部分中的 Oracle Database 部分中列出的所有安全性修复程序都适用。



Oracle Collaboration Suite 风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2010-0881 用户界面组件 HTTP 4.3 网络 部分 10.1.2.4 参见附注 1
 

 

注:

  1. “UI 组件”包括:Provisional Console (OID-DAS)、Web Mail、Web Access Client (WAC)、Discussions、Web Conferencing/RTC、Workspaces 和 Wireless/Mobile Preferences Page。




附录 — Oracle E-Business Suite 和应用产品

Oracle E-Business Suite 和应用产品执行概要

该重要补丁更新包含 8 个针对 Oracle 应用产品的新的安全修复程序。其中 6 个漏洞无需身份验证即可能被远程利用,即,无需输入用户名和口令即可通过网络利用这些漏洞。   

Oracle E-Business Suite 产品包括 Oracle Database 和 Oracle 融合中间件组件,这些组件受 Oracle Database融合中间件部分中所列漏洞的影响。Oracle E-Business Suite 产品暴露在危险中的程度取决于所使用的 Oracle Database 和融合中间件版本。Oracle Database 和融合中间件安全修复程序没有列在 Oracle E-Business Suite 风险表中,但是由于影响这些版本的漏洞可能会影响 Oracle E-Business Suite 产品,因此 Oracle 建议客户将 2010 年 4 月的重要补丁更新应用到 Oracle E-Business Suite 的 Oracle Database 和融合中间件组件。详情参阅 2010 年 4 月 Oracle E-Business Suite 重要补丁更新, My Oracle Support 说明 985896.1



Oracle E-Business Suite 风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2010-0859 Oracle Application Object Library HTTP 6.4 网络 部分+ 部分+ 11.5.10.2 ATG RUP6  
CVE-2010-0868 Oracle iStore HTTP 5.8 网络 部分 部分 11.5.10.2、12.0.6、12.1.2  
CVE-2010-0861 Oracle HRMS(自助服务) HTTP 5.0 网络 部分 11.5.10.2、12.0.6、12.1.2  
CVE-2010-0865 Oracle Agile Engineering Data Management HTTP 4.3 网络 部分+ 6.1.1.0  
CVE-2010-0871 Oracle Application Object Library HTTP 4.3 网络 部分 11.5.10.2、12.0.6、12.1.2  
CVE-2010-0869 Oracle Transportation Management HTTP 4.3 网络 部分 5.5.05.07、5.5.06.00、6.0.03  
CVE-2010-0858 E-Business Intelligence HTTP Supply Chain Intelligence 3.5 网络 一次性 部分 11.5.10.2、12.0.6、12.1.2  
CVE-2010-0857 Oracle Workflow Cartridge HTTP 有效会话 3.5 网络 一次性 部分 11.5.10.2  
 

 



附录 — Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne

Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 执行概要

该重要补丁更新包含 4 个针对 PeopleSoft 和 JDEdwards Suite 的新的安全修复程序。其中 2 个漏洞无需身份验证即可能被远程利用,即,无需输入用户名和口令即可通过网络利用这些漏洞。   



Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2010-0880 PeopleTools HTTP 6.4 网络 部分 部分 8.49.26、8.50.07  
CVE-2010-0877 PeopleTools HTTP 5.0 网络 部分 8.49.26、8.50.07  
CVE-2010-0878 PeopleTools HTTP 有效会话 4.0 网络 一次性 部分 8.49.26、8.50.07  
CVE-2010-0879 PeopleTools HTTP 有效会话 4.0 网络 一次性 部分 8.49.26、8.50.07  
 

 



附录 — Oracle 行业应用产品套件

Oracle 行业应用产品套件执行概要

该重要补丁更新包含 6 个针对 Oracle 行业应用产品的新的安全修复程序。所有这些漏洞无需身份验证即可能被远程利用,即,无需输入用户名和口令即可能通过网络利用这些漏洞。   



Oracle 行业产品套件风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2010-0874 电信 — Oracle Communications Unified Inventory Management HTTP 联机帮助 4.3 网络 部分 7.1  
CVE-2010-0876 生命科学 — Oracle Clinical Remote Data Capture Option HTTP RDC Onsite 4.3 网络 部分 4.5.3、4.6  
CVE-2010-0875 生命科学 — Oracle Thesaurus Management System HTTP TMS Browser 4.3 网络 部分 4.5.2、4.6、4.6.1  
CVE-2010-0862 零售 — Oracle Retail Markdown Optimization HTTP 联机帮助 4.3 网络 部分 13.1 参见附注 1
CVE-2010-0864 零售 — Oracle Retail Place In-Season HTTP 联机帮助 4.3 网络 部分 12.2 参见附注 1
CVE-2010-0863 零售 — Oracle Retail Plan In-Season HTTP 联机帮助 4.3 网络 部分 12.2 参见附注 1
 

 

注:

  1. 对于 Oracle Retail Markdown Optimization、Plan 和 Place In-Season,此漏洞影响联机帮助而非实际应用程序。


附录 — Oracle Sun 产品套件

Oracle Sun 产品套件执行概要

该重要补丁更新包含 16 个针对 Oracle Sun 产品套件的新的安全修复程序。其中 8 个漏洞无需身份验证即可能被远程利用,即,无需输入用户名和口令即可通过网络利用这些漏洞。   

注意: 有关针对 Sun 产品中使用的第三方组件的安全修复程序,请参见 Sun 产品安全性博客

Oracle Sun 产品套件风险表

漏洞号 组件 协议
组件		 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2010-0888 Sun Ray Server Software TCP Device Services 10.0 网络 4.0、4.1、4.2  
CVE-2010-0897 Sun Java System Directory Server LDAP、HTTP Directory Service Markup Language 7.5 网络 部分+ 部分+ 部分+ 5.2、6.0、6.1、6.2、6.3、6.3.1  
CVE-2010-0882 Solaris Trusted Extensions 7.2 本地 10,OpenSolaris snv_134  
CVE-2010-0896 Sun Convergence HTTP Address Book 和 Mail Filter 7.1 网络 1.0  
CVE-2010-0885 Sun Java System Communications Express HTTP Address Book 6.8 网络 一次性 6 2005Q4 (6.2)、6.3  
CVE-2010-0894 Sun Java System Access Manager HTTP 5.8 网络 部分 部分 7.1、7 2005Q4、OpenSSO Enterprise 8.0  
CVE-2010-0891 Sun Management Center HTTP Solaris Container Manager 5.8 网络 部分+ 部分 3.6.1、4.0  
CVE-2009-2404 Sun Java System Directory Server SSL Directory Server 连接到的 SSL 服务器的所有权 5.1 网络 部分+ 部分+ 部分+ 5.2、6.0、6.1、6.2、6.3、6.3.1  
CVE-2009-0688 Sun Java System Directory Server LDAP 5.0 网络 部分 5.2、6.0、6.1、6.2、6.3 或 6.3.1  
CVE-2010-0889 Solaris 内核 4.9 本地 OpenSolaris snv_128  
CVE-2010-0453 Solaris /dev/ucode driver 4.9 本地 Solaris 10、OpenSolaris snv_132  
CVE-2010-0893 Sun Convergence HTTP Mail 4.3 网络 部分 1.0  
CVE-2010-0895 Solaris IP Filter 3.6 本地 部分 部分+ OpenSolaris snv_119  
CVE-2010-0890 Solaris 内核 2.1 本地 部分 10、OpenSolaris snv_98  
CVE-2010-0883 Sun Cluster Data Service for Oracle E-Business Suite 2.1 本地 部分 3.1、3.2  
CVE-2010-0884 Sun Cluster Data Service for Oracle E-Business Suite 2.1 本地 部分 3.1、3.2  
 

 
false ,,,,,,,,,,,,,,,,