Oracle 重要补丁更新公告 — 2013 年 4 月
说明
重要补丁更新 (CPU) 是针对多个安全漏洞的补丁集合。重要补丁更新补丁通常是累积式的,但是每个公告只描述自上一个重要补丁更新公告以来添加的安全修复程序。因此,要了解有关以前发布的安全修复程序的信息,应该查看以前的重要补丁更新公告。请参见:
重要补丁更新和安全警报,获得有关 Oracle 安全公告的信息。
考虑到攻击得逞所带来的威胁,Oracle 强烈建议客户尽快应用 CPU 修复程序。 该重要补丁更新包含针对下列产品系列的 128 个新的安全修复程序。
本重要补丁更新公告还提供了符合常见漏洞报告格式 (CVRF) 1.1 版的 XML 格式。有关 Oracle 使用 CVRF 的更多信息,请参阅:http://www.oracle.com/technetwork/topics/security/cpufaq-098434.html#CVRF.
受影响的产品和组件
该重要补丁更新解决的安全漏洞将影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在与指定的“产品和版本”列对应的“可用补丁”列中。请单击下面的“可用补丁”列中或可用补丁表中的链接,查看这些补丁的文档。
下面是 Oracle 终身支持政策下标准支持或扩展支持所涵盖的受影响的产品版本列表:
| 受影响的产品和版本 | 可用补丁 |
| Oracle Database 11g 第 2 版,版本 11.2.0.2、11.2.0.3 | 数据库 |
| Oracle Database 11g 第 1 版,版本 11.1.0.7 | 数据库 |
| Oracle Database 10g 第 2 版,版本 10.2.0.4、10.2.0.5 | 数据库 |
| Oracle Application Express,4.2.1 之前的版本 | 数据库 |
| Oracle Containers for J2EE,版本 10.1.3.5 | 融合中间件 |
| Oracle COREid Access,版本 10.1.4.3 | 融合中间件 |
| Oracle GoldenGate Veridata,版本 3.0.0.11 | 融合中间件 |
| Oracle HTTP Server,版本 10.1.3.5.0、11.1.1.5.0、11.1.1.6.0 | 融合中间件 |
| Oracle JRockit,版本 R27.7.4 及早期版本、R28.2.6 及早期版本 | 融合中间件 |
| Oracle Outside In Technology,版本 8.3.7、8.4.0 | 融合中间件 |
| Oracle WebCenter Capture,版本 10.1.3.5.1 | 融合中间件 |
| Oracle WebCenter Content,版本 10.1.3.5.1、11.1.1.6.0 | 融合中间件 |
| Oracle WebCenter Interaction,版本 6.5.1、10.3.3.0 | 融合中间件 |
| Oracle WebCenter Sites,版本 7.6.2、11.1.1.6.0、11.1.1.6.1 | 融合中间件 |
| Oracle WebLogic Server,版本 10.0.2、10.3.5、10.3.6、12.1.1 | 融合中间件 |
| Oracle Web Services Manager,版本 11.1.1.6 | 融合中间件 |
| Oracle E-Business Suite 12i 版,版本 12.0.6、12.1.1、12.1.2、12.1.3 | E-Business Suite |
| Oracle E-Business Suite 11i 版,版本 11.5.10.2 | E-Business Suite |
| Oracle Agile EDM,版本 6.1.1.0、6.1.2.0、6.1.2.2 | Supply Chain |
| Oracle Transportation Management,版本 5.5.05、6.2 | Supply Chain |
| Oracle PeopleSoft HRMS,版本 9.1 | PeopleSoft |
| Oracle PeopleSoft PeopleTools,版本 8.51、8.52、8.53 | PeopleSoft |
| Oracle Siebel CRM,版本 8.1.1、8.2.2 | Siebel |
| Oracle Clinical Remote Data Capture Option,版本 4.6.0、4.6.6 | 卫生科学 |
| Oracle Retail Central Office,版本 13.1、13.2、13.3、13.4 | 零售 |
| Oracle Retail Integration Bus,版本 13.0、13.1、13.2 | 零售 |
| Oracle FLEXCUBE Direct Banking,版本 2.8.0 - 12.0.1 | Oracle FLEXCUBE |
| Primavera P6 Enterprise Project Portfolio Management,版本 7.0、8.1、8.2 | Primavera |
| Oracle 和 Sun 系统产品套件 | Oracle 和 Sun 系统产品套件 |
| Oracle Sun 中间件产品 | 融合中间件 |
| Oracle MySQL Server,版本 5.1、5.5、5.6 | Oracle MySQL 产品套件 |
| Oracle Automatic Service Request,4.3.2 之前的版本 | Oracle 支持工具 |
可用补丁表与风险表
使用累积式补丁的产品
重要补丁更新中的 Oracle 数据库、Oracle 融合中间件、Oracle Enterprise Manager Grid Control、Oracle E-Business Suite 管理软件、JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft Enterprise Portal 管理软件、PeopleSoft Enterprise PeopleTools、Siebel Enterprise、行业管理软件、FLEXCUBE、Primavera 和 Oracle VM 补丁均是累积式的。换言之,重要补丁更新中包括的任何这些产品的补丁都包含之前的重要补丁更新中针对相应产品的所有修复程序。有关累积式和非累积式补丁的详细信息,请查阅下表中各产品组的可用补丁文档。
可用补丁表
对于所管理的每个 Oracle 产品,请查阅下表中提到的有关可用补丁信息和安装说明的文档。有关与该重要补丁更新相关的 Oracle 产品文档概述,请参阅 2013 年 4 月 Oracle 重要补丁更新文档概述 My Oracle Support 说明 1519884.1。
风险表内容
风险表只列出公告涉及到的补丁新近修复的安全漏洞。之前的安全修复程序的风险表包含在之前的重要补丁更新公告中。在此可获取本文档中提供的风险表的英语文本版本。
该重要补丁更新提出的几个漏洞影响着多个产品。每个漏洞都通过一个漏洞号来标识,该编号是相应漏洞的唯一标识符。一个影响多个产品的漏洞将在所有风险表中显示相同的漏洞号。斜体 表明其他产品领域中包含的代码中的漏洞。
安全漏洞使用 CVSS 2.0 版进行评估(请参阅用于解释 Oracle 如何应用 CVSS 2.0 的 Oracle CVSS 评估系统)。Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及利用得逞的潜在影响的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析自己的风险。有关详细信息,请参阅 Oracle 漏洞公开政策。
风险表中的协议暗示其所有安全变体(如果适用)也将受到影响。例如,如果列出 HTTP 为受影响协议,则暗示 HTTPS(如果适用)也将受到影响。
解决方法
考虑到攻击得逞所带来的威胁,Oracle 强烈建议客户尽快应用 CPU 修复程序。如果不应用 CPU 修复程序,则无法通过阻止攻击所需的网络协议来降低攻击得逞的风险。对于需要特定权限或者需要访问特定程序包的攻击,对不需要这些权限的用户删除这些权限或者使其无法访问这些程序包可能有助于降低攻击得逞的风险。这两种方法都有可能损害应用程序功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。
漏掉的重要补丁更新
Oracle 强烈建议客户尽快应用安全修复程序。如果客户漏掉了一个或多个重要补丁更新,担心该 CPU 中未公布其修复程序的产品出现安全问题,请查看以前的重要补丁更新公告以确定要采取的行动。
产品相关性
某些 Oracle 产品可能依赖于其他 Oracle 产品。因此,该重要补丁更新中发布的安全漏洞修复程序可能影响一个或多个相关的 Oracle 产品。有关这些相关产品以及对相关产品应用补丁的详细信息,请参阅 2013 年 4 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1525152.1。
重要补丁更新支持的产品和版本
只有终身支持政策的标准支持或扩展支持阶段中涵盖的产品版本才提供重要补丁更新补丁。建议客户规划产品升级,以确保当前运行的版本可以应用重要补丁更新补丁。
没有对未涵盖在标准支持或扩展支持之下的产品版本测试过是否存在该重要补丁更新提出的安全漏洞。但是,很可能受影响的版本的那些早期版本也会受这些安全漏洞的影响。因此,建议客户升级到受支持的版本。
受支持的数据库、融合中间件、Oracle Enterprise Manager Base Platform(以前的“Oracle Enterprise Manager Grid Control”)和 Collaboration Suite 产品根据软件错误更正支持政策(参见 My Oracle Support 说明 209768.1)进行修补。有关支持政策和支持阶段的详细指南,请查看技术支持政策。
处于扩展支持阶段的产品
已购买终身支持政策下的扩展支持的客户可以使用重要补丁更新补丁。客户必须具有有效的扩展支持服务合同,才能在扩展支持阶段下载重要补丁更新补丁。
致谢声明
该重要补丁更新修复的安全漏洞由以下人员或组织向 Oracle 报告:Exodus Intelligence 的 Aaron Portnoy;Ernst & Young 的 Alex Mor;与 HP 的零时差计划合作的 Andrea Micalizzi aka rgod;曾任职于 NCC Group 的 Andrew Davies;NCC Group 的 Andy Davis;SensePost Information Security 的 Behrang Fouladi;Google 安全小组的 Borked;Fernando Muñoz 通过 Secunia SVCRP;Fernando Muñoz;Francis Provencher 通过 HP 的零时差计划;Jakub Wartak 通过 iDefense Labs;SEC Consult 的 K. Gudinavicius;曾任职于 GE 的 Mike Gerdts;Portcullis Inc 的 Oliver Gruskovnjak;Ernst & Young 的 Oren Hafif;Positive Technologies 的 Pavel Toporkov;AT&T Consulting 的 Rajat Swarup;Recx;Wikimedia Deutschland 的 River Tarnell;BAE Systems Detica 的 Rohan Stelling;KPMG Management Consulting(新加坡)的 Tan 和 Kean Siong;Travis Emmert;Travis Emmert 通过 iDefense。
深度安全贡献者
Oracle 向那些为我们的深度安全计划作出贡献的人表示感谢(参见常见问题解答)。对于导致在以后版本中大量修改 Oracle 代码或文档但是严重程度不足以归类到重要补丁更新中的安全漏洞问题,如果有人提供相关的信息、发现或建议,则会因为深度安全作出贡献而受到褒奖。
在此重要补丁更新公告中,Oracle 向以下为 Oracle 深度安全计划作出贡献的人们表示感谢:Internet Security Auditors 的 Manuel García Cárdenas;以及 Help AG 的 Mohamed Nazim。
在线业务安全贡献者
Oracle 向那些为我们的在线业务安全计划作出贡献的人表示感谢(参见常见问题解答)。如果有人提供会导致在以后版本中大量修改 Oracle 面向外部的在线系统安全问题相关的信息、发现或建议,则会因为在线业务安全作出贡献而受到褒奖。
本季度,Oracle 向以下为 Oracle 在线业务安全计划作出贡献的人们表示感谢:Abdelmorite Eljoaydi (Jigsaw);Ali Hasan Ghauri;Keith W. Blackwell;Rishal Dwivedi 和 Manjot Singh;Vaibhav Khatke;以及 Wan Ikram。
重要补丁更新时间表
重要补丁更新在距 1 月、4 月、7 月和 10 月的第 17 日最近的星期二发布。接下来的四个日期为:
- 2013 年 7 月 16 日
- 2013 年 10 月 15 日
- 2014 年 1 月 14 日
- 2014 年 4 月 15 日
参考资料
修改记录
| 2013 年 4 月 16 日 | 修订版 1。初始版本 |
附录 — Oracle 数据库服务器 Oracle 数据库服务器执行概要 该重要补丁更新包含 4 个适用于 Oracle 数据库服务器的新安全修复程序。所有这些漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。所有这些修复程序都不适用于仅客户端的安装(即,没有安装 Oracle 数据库服务器的安装)。在此可获取此风险表的英语文本形式。 Oracle 数据库服务器风险表
| 漏洞号 | 组件 | 协议 | 所需的程序包和/或权限 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 受影响的支持版本 | 说明 | | 基本评分 | 访问途径 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | CVE-2013-1534 | Workload Manager | HTTP | 无 | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 11.2.0.2、11.2.0.3 | 参见注释 1 | CVE-2013-1519 | Application Express | HTTP | 无 | 是 | 5.0 | 网络 | 低 | 无 | 无 | 部分 | 无 | 4.2.1 之前的所有版本 | 参见注释 2 | CVE-2013-1554 | 网络层 | Oracle Net | 无 | 是 | 5.0 | 网络 | 低 | 无 | 无 | 无 | 部分+ | 10.2.0.4、10.2.0.5、11.1.0.7、11.2.0.2、11.2.0.3 | | CVE-2013-1538 | 网络层 | Oracle Net | 无 | 是 | 5.0 | 网络 | 低 | 无 | 无 | 无 | 部分+ | 11.2.0.2、11.2.0.3 | | 注: - 这仅适用于 RAC 配置。Workload Manager 不提供单独下载。CVSS 基本评分仅对 Windows 为 10.0 分。对于 Linux、Unix 和其他平台 CVSS 基本评分为 7.5,而且对机密性、完整性以及可用性的影响评为“部分+”。
- 受影响的支持版本为 4.2.1 之前的所有版本,APEX 4.2 除外,它随数据库 12.1 版一起安装。
附录 — Oracle 融合中间件 Oracle 融合中间件执行概要 该重要补丁更新包含 29 个适用于 Oracle 融合中间件的新安全修复程序。其中 22 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。 Oracle 融合中间件产品包括受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库组件。Oracle 融合中间件产品暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库安全修复程序未列在 Oracle 融合中间件风险表中。然而,由于影响 Oracle 数据库版本的漏洞可能影响 Oracle 融合中间件产品,Oracle 建议客户将 2013 年 4 月的重要补丁更新应用于 Oracle 融合中间件产品的 Oracle 数据库组件。有关您的环境需要应用哪些补丁的信息,请参阅 2013 年 4 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 1525152.1。 Oracle 融合中间件风险表
| 漏洞号 | 组件 | 协议 | 子组件 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 受影响的支持版本 | 说明 | | 基本评分 | 访问途径 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | CVE-2013-2380 | Oracle JRockit | 多个 | - | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | R27.7.4 及早期版本、R28.2.6 及早期版本 | 参见注释 1 | CVE-2009-1955 | Oracle HTTP Server | HTTP | Web Listener | 是 | 7.8 | 网络 | 低 | 无 | 无 | 无 | 全 | - | 参见注释 2 | CVE-2009-1890 | Oracle HTTP Server | HTTP | Web Listener | 是 | 7.1 | 网络 | 中 | 无 | 无 | 无 | 全 | - | 参见注释 2 | CVE-2009-1956 | Oracle HTTP Server | HTTP | Web Listener | 是 | 6.4 | 网络 | 低 | 无 | 部分 | 无 | 部分 | - | 参见注释 2 | CVE-2013-1553 | Oracle Web Services Manager | HTTP | Web Services Security | 是 | 6.4 | 网络 | 低 | 无 | 部分 | 部分 | 无 | 11.1.1.6.0 | | CVE-2013-1565 | Oracle GoldenGate Veridata | HTTP | 无 | 是 | 5.0 | 网络 | 低 | 无 | 无 | 无 | 部分+ | 3.0.0.11 | | CVE-2012-0841 | Oracle HTTP Server | HTTP | ModSecurity | 是 | 5.0 | 网络 | 低 | 无 | 无 | 无 | 部分 | 11.1.1.6.0 | | CVE-2007-1862 | Oracle HTTP Server | HTTP | Web Listener | 是 | 5.0 | 网络 | 低 | 无 | 部分 | 无 | 无 | - | 参见注释 2 | CVE-2009-1191 | Oracle HTTP Server | HTTP | Web Listener | 是 | 5.0 | 网络 | 低 | 无 | 部分 | 无 | 无 | - | 参见注释 2 | CVE-2009-2699 | Oracle HTTP Server | HTTP | Web Listener | 是 | 5.0 | 网络 | 低 | 无 | 无 | 无 | 部分 | - | 参见注释 2 | CVE-2013-1545 | Oracle HTTP Server | HTTP | Web Listener | 是 | 5.0 | 网络 | 低 | 无 | 无 | 无 | 部分+ | 10.1.3.5、11.1.1.5.0、11.1.1.6.0 | | CVE-2010-0408 | Oracle HTTP Server | HTTP | Web Listener | 是 | 5.0 | 网络 | 低 | 无 | 无 | 无 | 部分 | - | 参见注释 2 | CVE-2010-2791 | Oracle HTTP Server | HTTP | Web Listener | 是 | 5.0 | 网络 | 低 | 无 | 部分 | 无 | 无 | - | 参见注释 2 | CVE-2010-2068 | Oracle HTTP Server | HTTP | Web Listener | 是 | 5.0 | 网络 | 低 | 无 | 部分 | 无 | 无 | - | 参见注释 2 | CVE-2013-1497 | Oracle COREid Access | HTTP | WebGate — WebServer 插件 | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 10.1.4.3.0 | | CVE-2013-1542 | Oracle Containers for J2EE | HTTP | Servlet Runtime | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 10.1.3.5 | | CVE-2009-0023 | Oracle HTTP Server | HTTP | Web Listener | 是 | 4.3 | 网络 | 中 | 无 | 无 | 无 | 部分 | - | 参见注释 2 | CVE-2012-2751 | Oracle HTTP Server | HTTP | Web Listener | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 11.1.1.6.0 | | CVE-2013-1522 | Oracle WebCenter Content | HTTP | Content Server | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 10.1.3.5.1、11.1.1.6.0 | | CVE-2013-1529 | Oracle WebCenter Interaction | HTTP | Image Service | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 6.5.1、10.3.3.0 | | CVE-2013-1504 | Oracle WebLogic Server | HTTP | WebLogic Console | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 10.0.2、10.3.5、10.3.6、12.1.1 | | CVE-2013-2390 | Oracle WebLogic Server | HTTP | WebLogic Console | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 10.0.2、10.3.5、10.3.6、12.1.1 | | CVE-2013-1514 | Oracle Containers for J2EE | Java RMI | RMI Support | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 部分 | 无 | 10.1.3.5 | | CVE-2013-1516 | Oracle WebCenter Capture | HTTP | Import Server | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 无 | 部分 | 10.1.3.5.1 | | CVE-2013-1559 | Oracle WebCenter Content | HTTP | Content Server | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 无 | 部分+ | 10.1.3.5.1、11.1.1.6.0 | | CVE-2013-1509 | Oracle WebCenter Sites | HTTP | WebCenter Sites | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 部分+ | 无 | 7.6.2、11.1.1.6.0、11.1.1.6.1 | | CVE-2013-1503 | Oracle WebCenter Content | HTTP | Content Server | 否 | 3.5 | 网络 | 中 | 一次性 | 无 | 部分 | 无 | 10.1.3.5.1、11.1.1.6.0 | | CVE-2012-4303 | Oracle WebCenter Content | HTTP | Content Server | 否 | 3.5 | 网络 | 中 | 一次性 | 部分 | 无 | 无 | 11.1.1.6.0 | | CVE-2013-2393 | Oracle Outside In Technology | 无 | Outside In Filter | 否 | 1.5 | 本地 | 中 | 一次性 | 无 | 无 | 部分+ | 8.3.7、8.4.0 | 参见注释 3 | 注: - 2013 年 4 月 16 日,Oracle 发布了 Java SE 重要补丁更新来解决影响 Java 运行时环境的多个漏洞。Oracle CVE-2013-2380 指的是 Java SE 重要补丁更新中适用于 JRockit 的公告漏洞。在 JRockit 已修复的漏洞中,这个漏洞号的 CVSS 评分最高。JRockit 中在 CVE-2013-2380 下解决的所有漏洞的完整列表如下:CVE-2013-1537 和 CVE-2013-2415。
- 在所有支持的版本和补丁集中得到修复。
- Outside In Technology 是一个软件开发工具包 (SDK) 套件。它没有任何特定的相关协议。如果托管软件通过网络将收到的数据传递给 Outside In Technology 代码,则 CVSS 基本评分将升高到 6.8。
附录 — Oracle 管理软件 Oracle E-Business Suite 执行概要 该重要补丁更新包含 6 个适用于 Oracle E-Business Suite 的新安全修复程序。所有这些漏洞都无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。 Oracle E-Business Suite 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库和 Oracle 融合中间件部分中所列漏洞的影响。Oracle E-Business Suite 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle E-Business Suite 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle E-Business Suite 产品,Oracle 建议客户将 2013 年 4 月的重要补丁更新应用于 Oracle E-Business Suite 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 Oracle E-Business Suite 11i 和 12 版重要补丁更新知识文档(2013 年 4 月)My Oracle Support 说明 1530756.1。 Oracle E-Business Suite 风险表
| 漏洞号 | 组件 | 协议 | 子组件 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 受影响的支持版本 | 说明 | | 基本评分 | 访问途径 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | CVE-2013-2388 | Oracle Applications Technology Stack | HTTP | Mid Tier File Management | 是 | 5.0 | 网络 | 低 | 无 | 无 | 无 | 部分 | 11.5.10.2、12.0.6、12.1.3 | | CVE-2013-1524 | Oracle Application Object Library | HTTP | Attachments | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 12.0.6、12.1.3 | | CVE-2013-2396 | Oracle Applications Manager | HTTP | HTML OAM 客户端 | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 12.0.6、12.1.3 | | CVE-2013-1528 | Oracle HRMS | HTTP | Payroll | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 11.5.10.2、12.0.6、12.1.1、12.1.2、12.1.3 | | CVE-2013-1501 | Oracle iStore | HTTP | Login | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 11.5.10.2 | | CVE-2013-1517 | Oracle Application Object Library | HTTP | Diagnostics | 是 | 2.6 | 网络 | 高 | 无 | 部分 | 无 | 无 | 11.5.10.2、12.0.6、12.1.3 | |
Oracle Supply Chain 产品套件执行概要 该重要补丁更新包含 3 个适用于 Oracle Supply Chain 产品套件的新安全修复程序。其中 1 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。 Oracle Supply Chain 产品套件风险表
| 漏洞号 | 组件 | 协议 | 子组件 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 受影响的支持版本 | 说明 | | 基本评分 | 访问途径 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | CVE-2013-0410 | Agile EDM | HTTP | Base Component - Common Objects | 是 | 4.3 | 网络 | 中 | 无 | 部分+ | 无 | 无 | 6.1.1.0、6.1.2.0、6.1.2.2 | | CVE-2013-2441 | Agile EDM | HTTP | Java Client | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 部分 | 无 | 6.1.1.0、6.1.2.0、6.1.2.2 | | CVE-2013-1536 | Oracle Transportation Management | HTTP | Security | 否 | 4.0 | 网络 | 低 | 一次性 | 部分+ | 无 | 无 | 5.5.05、6.2 | |
Oracle PeopleSoft 产品执行概要 该重要补丁更新包含 11 个适用于 Oracle PeopleSoft 产品的新安全修复程序。其中 6 个漏洞无需身份验证即可远程利用,即可以通过网络使用此漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。 Oracle PeopleSoft 产品风险表
| 漏洞号 | 组件 | 协议 | 子组件 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 受影响的支持版本 | 说明 | | 基本评分 | 访问途径 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | CVE-2013-2409 | PeopleSoft Enterprise PeopleTools | HTTP | PIA Core Technology | 是 | 5.0 | 网络 | 低 | 无 | 部分 | 无 | 无 | 8.51、8.52、8.53 | | CVE-2013-1513 | PeopleSoft Enterprise PeopleTools | HTTP | PIA Core Technology | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 8.51、8.52、8.53 | | CVE-2013-2408 | PeopleSoft Enterprise PeopleTools | HTTP | PIA Core Technology | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 8.51、8.52、8.53 | 参见注释 1 | CVE-2013-2404 | PeopleSoft Enterprise PeopleTools | HTTP | Portal | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 8.51、8.52、8.53 | | CVE-2013-1550 | PeopleSoft Enterprise PeopleTools | HTTP | WorkCenter | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 8.52、8.53 | | CVE-2013-2402 | PeopleSoft Enterprise PeopleTools | HTTP | WorkCenter | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 8.51、8.52、8.53 | | CVE-2013-2410 | PeopleSoft Enterprise HRMS | HTTP | Absence Management | 否 | 4.0 | 网络 | 低 | 一次性 | 部分 | 无 | 无 | 9.1.0 | | CVE-2013-1527 | PeopleSoft Enterprise PeopleTools | HTTP | Report Distribution | 否 | 4.0 | 网络 | 低 | 一次性 | 部分 | 无 | 无 | 8.51、8.52、8.53 | | CVE-2013-2374 | PeopleSoft Enterprise PeopleTools | HTTP | Rich Text Editor | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 部分 | 无 | 8.51、8.52、8.53 | | CVE-2013-2406 | PeopleSoft Enterprise PeopleTools | HTTP | PIA Core Technology | 否 | 3.5 | 网络 | 中 | 一次性 | 无 | 部分 | 无 | 8.51、8.52、8.53 | | CVE-2013-2401 | PeopleSoft Enterprise PeopleTools | HTTP | Portal | 否 | 3.5 | 网络 | 中 | 一次性 | 无 | 部分 | 无 | 8.51、8.52、8.53 | | 注: - 只影响 IE 6。
Oracle Siebel CRM 执行概要 该重要补丁更新包含 8 个适用于 Oracle Siebel CRM 的新安全修复程序。其中 1 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。 Oracle Siebel CRM 风险表
| 漏洞号 | 组件 | 协议 | 子组件 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 受影响的支持版本 | 说明 | | 基本评分 | 访问途径 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | CVE-2013-1551 | Siebel Enterprise Application Integration | HTTP | Integration Business Services | 否 | 6.0 | 网络 | 中 | 一次性 | 部分 | 部分 | 部分 | 8.1.1、8.2.2 | | CVE-2013-2398 | Siebel UI Framework | HTTP | Open UI Client | 否 | 6.0 | 网络 | 中 | 一次性 | 部分 | 部分 | 部分 | 8.1.1、8.2.2 | | CVE-2013-1510 | Siebel UI Framework | HTTP | Portal Framework | 是 | 5.0 | 网络 | 低 | 无 | 部分 | 无 | 无 | 8.1.1、8.2.2 | | CVE-2013-2413 | Siebel Enterprise Application Integration | HTTP | Web 服务 | 否 | 4.9 | 网络 | 中 | 一次性 | 部分 | 部分 | 无 | 8.1.1、8.2.2 | | CVE-2013-2399 | Siebel Call Center | HTTP | Email - COMM Server Components | 否 | 4.0 | 网络 | 低 | 一次性 | 部分 | 无 | 无 | 8.1.1、8.2.2 | | CVE-2013-0416 | Siebel Enterprise Application Integration | HTTP | Web 服务 | 否 | 4.0 | 网络 | 低 | 一次性 | 部分 | 无 | 无 | 8.1.1、8.2.2 | | CVE-2013-1543 | Siebel UI Framework | HTTP | Open UI Client | 否 | 4.0 | 网络 | 低 | 一次性 | 部分 | 无 | 无 | 8.1.1、8.2.2 | | CVE-2013-2403 | Siebel Enterprise Application Integration | HTTP | Web 服务 | 否 | 3.5 | 网络 | 中 | 一次性 | 部分 | 无 | 无 | 8.1.1、8.2.2 | |
附录 — Oracle 行业管理软件 Oracle 行业管理软件执行概要 该重要补丁更新包含 3 个适用于 Oracle 行业管理软件的新安全修复程序。这些漏洞都需要身份验证实现远程利用,即需要用户名和口令才能通过网络使用这些漏洞。在此可获取此风险表的英语文本形式。 Oracle 行业管理软件风险表
| 漏洞号 | 组件 | 协议 | 子组件 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 受影响的支持版本 | 说明 | | 基本评分 | 访问途径 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | CVE-2013-1520 | Oracle Clinical Remote Data Capture 选件 | HTTP | HTML Surround | 否 | 5.5 | 网络 | 低 | 一次性 | 部分+ | 部分+ | 无 | 4.6.0、4.6.6 | | CVE-2013-2397 | Oracle Retail Central Office | HTTP | 客户操作(添加、搜索) | 否 | 5.5 | 网络 | 低 | 一次性 | 部分+ | 部分+ | 无 | 13.1、13.2、13.3、13.4 | | CVE-2013-1525 | Oracle Retail Integration Bus | HTTP | Retail Integration Bus Manager | 否 | 4.0 | 网络 | 低 | 一次性 | 部分 | 无 | 无 | 13.0、13.1、13.2 | |
附录 — Oracle Financial Services 软件 Oracle Financial Services 软件执行概要 该重要补丁更新包含 18 个适用于 Oracle Financial Services 软件的新安全修复程序。其中 1 个漏洞无需身份验证即可远程利用,即可以通过网络使用此漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。 Oracle Financial Services 软件风险表
| 漏洞号 | 组件 | 协议 | 子组件 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 受影响的支持版本 | 说明 | | 基本评分 | 访问途径 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | CVE-2013-1533 | Oracle FLEXCUBE Direct Banking | HTTP | BASE | 否 | 5.5 | 网络 | 低 | 一次性 | 部分+ | 部分+ | 无 | 2.8.0 - 3.1.0、5.1.0、5.2.0、5.3.1 - 5.3.3、6.0.1 - 12.0.0 | | CVE-2013-1535 | Oracle FLEXCUBE Direct Banking | HTTP | BASE | 是 | 5.0 | 网络 | 低 | 无 | 部分 | 无 | 无 | 2.8.0 - 4.1.0、5.1.0、5.2.0、5.3.4、6.0.1 | | CVE-2013-2386 | Oracle FLEXCUBE Direct Banking | HTTP | BASE | 否 | 4.9 | 网络 | 中 | 一次性 | 无 | 部分 | 部分 | 2.8.0 - 4.1.0 | | CVE-2013-1505 | Oracle FLEXCUBE Direct Banking | HTTP | BASE | 否 | 4.9 | 网络 | 中 | 一次性 | 部分 | 部分 | 无 | 2.8.0 - 3.1.0 | | CVE-2013-2385 | Oracle FLEXCUBE Direct Banking | HTTP | BASE | 否 | 4.0 | 网络 | 低 | 一次性 | 部分 | 无 | 无 | 2.8.0 - 4.1.0 | | CVE-2013-1568 | Oracle FLEXCUBE Direct Banking | HTTP | CB | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 无 | 部分 | 2.8.0 - 5.3.3、6.0.1、6.2.0 | | CVE-2013-1562 | Oracle FLEXCUBE Direct Banking | HTTP | HELP | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 部分 | 无 | 2.8.0 - 4.1.0 | | CVE-2013-2387 | Oracle FLEXCUBE Direct Banking | HTTP | BASE | 否 | 3.6 | 网络 | 高 | 一次性 | 部分 | 部分 | 无 | 2.8.0 - 4.1.0 | | CVE-2013-1541 | Oracle FLEXCUBE Direct Banking | HTTP | BASE | 否 | 3.5 | 网络 | 中 | 一次性 | 部分 | 无 | 无 | 2.8.0 - 3.1.0、5.0.2 - 5.0.5、5.3.0 - 5.3.4 | | CVE-2013-1549 | Oracle FLEXCUBE Direct Banking | HTTP | BASE | 否 | 3.5 | 网络 | 中 | 一次性 | 无 | 部分 | 无 | 2.8.0 - 5.3.3、6.0.1、12.0.0 | | CVE-2013-1547 | Oracle FLEXCUBE Direct Banking | HTTP | BASE | 否 | 3.5 | 网络 | 中 | 一次性 | 无 | 部分 | 无 | 2.8.0 - 12.0.1 | | CVE-2013-1539 | Oracle FLEXCUBE Direct Banking | HTTP | CTF | 否 | 3.5 | 网络 | 中 | 一次性 | 部分 | 无 | 无 | 2.8.0 - 3.1.0、5.0.2 - 5.0.5、5.3.0 - 5.3.4 | | CVE-2013-2377 | Oracle FLEXCUBE Direct Banking | HTTP | My Services | 否 | 3.5 | 网络 | 中 | 一次性 | 部分 | 无 | 无 | 2.8.0 - 4.1.0 | | CVE-2013-1556 | Oracle FLEXCUBE Direct Banking | HTTP | OTH | 否 | 3.5 | 网络 | 中 | 一次性 | 无 | 部分 | 无 | 2.8.0 - 12.0.1 | | CVE-2013-2379 | Oracle FLEXCUBE Direct Banking | HTTP | RT | 否 | 3.5 | 网络 | 中 | 一次性 | 无 | 部分 | 无 | 2.8.0 - 12.0.1 | | CVE-2013-1560 | Oracle FLEXCUBE Direct Banking | HTTP | BASE | 否 | 2.1 | 网络 | 高 | 一次性 | 部分 | 无 | 无 | 2.8.0 - 4.1.0 | | CVE-2013-2382 | Oracle FLEXCUBE Direct Banking | 无 | BASE | 否 | 1.7 | 本地 | 低 | 一次性 | 部分 | 无 | 无 | 2.8.0 - 12.0.1 | | CVE-2013-1546 | Oracle FLEXCUBE Direct Banking | 无 | BASE | 否 | 1.5 | 本地 | 中 | 一次性 | 部分 | 无 | 无 | 2.8.0 - 3.1.0、5.0.2 - 12.0.1 | |
附录 — Oracle Primavera 产品套件 Oracle Primavera 产品套件执行概要 该重要补丁更新包含 2 个适用于 Oracle Primavera 产品套件的新安全修复程序。其中 1 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。 Oracle Primavera 产品套件风险表
| 漏洞号 | 组件 | 协议 | 子组件 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 受影响的支持版本 | 说明 | | 基本评分 | 访问途径 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | CVE-2013-2405 | Primavera P6 Enterprise Project Portfolio Management | HTTP | Web Access | 否 | 5.5 | 网络 | 低 | 一次性 | 部分+ | 部分+ | 无 | 7.0、8.1、8.2 | | CVE-2013-2411 | Primavera P6 Enterprise Project Portfolio Management | HTTP | Web Access | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 7.0、8.1、8.2 | |
附录 — Oracle 和 Sun 系统产品套件 Oracle 和 Sun 系统产品套件执行概要 该重要补丁更新包含 18 个针对下列 Oracle 和 Sun 系统产品套件的新安全修复程序: - 16 个适用于 Oracle 和 Sun 系统产品套件的新安全修复程序。其中 2 个漏洞无需身份验证即可远程利用,即可以通过网络使用此漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。
- 2 个适用于 Oracle Sun 中间件产品的新安全修复程序。这两个漏洞无需身份验证即可远程利用,即可以通过网络使用此漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。
Oracle 和 Sun 系统产品套件风险表
| 漏洞号 | 组件 | 协议 | 子组件 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 受影响的支持版本 | 说明 | | 基本评分 | 访问途径 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | CVE-2013-0405 | Solaris | IPv6 | 文件系统/NFS | 是 | 6.4 | 网络 | 低 | 无 | 部分 | 部分 | 无 | 8、9、10、11 | 参见注释 1 | CVE-2013-0411 | Solaris | 无 | RBAC 配置 | 否 | 5.9 | 本地 | 高 | 多次 | 全 | 全 | 全 | 8、9、10 | | CVE-2013-1507 | Solaris | 无 | 文件系统 | 否 | 4.9 | 本地 | 低 | 无 | 无 | 无 | 全 | 10、11 | | CVE-2013-1498 | Solaris | 无 | 内核/IO | 否 | 4.9 | 本地 | 低 | 无 | 无 | 无 | 全 | 10、11 | | CVE-2013-1496 | Solaris | 无 | 内核/IO | 否 | 4.9 | 本地 | 低 | 无 | 无 | 无 | 全 | 10、11 | | CVE-2013-1494 | Solaris | 无 | 内核 | 否 | 4.7 | 本地 | 中 | 无 | 无 | 无 | 全 | 10 | 参见注释 2 | CVE-2013-0408 | Solaris | 无 | CPU 性能计数器驱动程序 | 否 | 4.6 | 本地 | 低 | 一次性 | 无 | 无 | 全 | 10 | | CVE-2013-0413 | Solaris | 无 | 远程执行服务 | 否 | 4.4 | 本地 | 中 | 无 | 部分 | 部分 | 部分 | 10、11 | | CVE-2013-0406 | Solaris | TCP/IP | 内核/IPsec | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 10 | | CVE-2013-1530 | Solaris | 无 | 内核 | 否 | 3.8 | 本地 | 高 | 一次性 | 无 | 无 | 全 | 10 | | CVE-2013-0404 | Solaris | 无 | 内核/引导 | 否 | 3.7 | 本地 | 高 | 无 | 部分 | 部分 | 部分 | 10 | | CVE-2013-0412 | Solaris | 无 | 实用程序/pax | 否 | 3.3 | 本地 | 中 | 无 | 无 | 部分 | 部分 | 8、9、10、11 | | CVE-2012-0570 | Solaris | 无 | 库/Libc | 否 | 2.1 | 本地 | 低 | 无 | 无 | 无 | 部分 | 8、9、10、11 | | CVE-2012-0568 | Solaris | 无 | 实用程序/fdformat | 否 | 2.1 | 本地 | 低 | 无 | 部分 | 无 | 无 | 8、9、10 | | CVE-2013-0403 | Solaris | 无 | 实用程序 | 否 | 1.9 | 本地 | 中 | 无 | 无 | 无 | 部分 | 8、9、10、11 | | CVE-2013-1499 | Solaris | IPv6 | 网络配置 | 否 | 1.7 | 本地 | 低 | 一次性 | 无 | 无 | 部分 | 11 | | 注: - 仅当 Solaris NFS 客户端通过 IPv6 挂载 NFS 服务器时才会发生 CVE-2013-0405。
- CVE-2013-1494 仅影响 SPARC T4 服务器上运行的 Solaris 10。
Oracle Sun 中间件产品执行概要 该重要补丁更新包含 2 个适用于 Oracle Sun 中间件产品的新安全修复程序。这两个漏洞无需身份验证即可远程利用,即可以通过网络使用此漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。 Oracle Sun 中间件产品风险表
| 漏洞号 | 组件 | 协议 | 子组件 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 受影响的支持版本 | 说明 | | 基本评分 | 访问途径 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | CVE-2013-1515 | Oracle GlassFish Server | HTTP | ADMIN 接口 | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 3.0.1、3.1.2 | | CVE-2013-1508 | Oracle GlassFish Server | HTTP | REST 接口 | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 3.0.1、3.1.2 | |
附录 — Oracle MySQL Oracle MySQL 执行概要 该重要补丁更新包含 25 个适用于 Oracle MySQL 的新安全修复程序。其中 1 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。 Oracle MySQL 风险表
| 漏洞号 | 组件 | 协议 | 子组件 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 受影响的支持版本 | 说明 | | 基本评分 | 访问途径 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | CVE-2013-2395 | MySQL Server | MySQL 协议 | 数据操作语言 | 否 | 6.8 | 网络 | 低 | 一次性 | 无 | 无 | 全 | 5.6.10 及早期版本 | | CVE-2013-1521 | MySQL Server | MySQL 协议 | 服务器锁定 | 否 | 6.5 | 网络 | 低 | 一次性 | 部分+ | 部分+ | 部分+ | 5.1.67 及早期版本、5.5.29 及早期版本 | | CVE-2013-2378 | MySQL Server | MySQL 协议 | 信息 Schema | 否 | 6.0 | 网络 | 中 | 一次性 | 部分+ | 部分+ | 部分+ | 5.1.67 及早期版本、5.5.29 及早期版本、5.6.10 及早期版本 | | CVE-2013-1552 | MySQL Server | MySQL 协议 | 服务器 | 否 | 6.0 | 网络 | 中 | 一次性 | 部分 | 部分 | 部分 | 5.1.67 及早期版本、5.5.29 及早期版本 | | CVE-2013-1531 | MySQL Server | MySQL 协议 | 服务器权限 | 否 | 6.0 | 网络 | 中 | 一次性 | 部分 | 部分 | 部分 | 5.1.66 及早期版本、5.5.28 及早期版本 | | CVE-2013-2375 | MySQL Server | MySQL 协议 | 服务器权限 | 否 | 6.0 | 网络 | 中 | 一次性 | 部分+ | 部分+ | 部分+ | 5.1.68 及早期版本、5.5.30 及早期版本、5.6.10 及早期版本 | | CVE-2013-1570 | MySQL Server | MySQL 协议 | MemCached | 是 | 5.0 | 网络 | 低 | 无 | 无 | 无 | 部分+ | 5.6.10 及早期版本 | | CVE-2013-1523 | MySQL Server | MySQL 协议 | 服务器优化器 | 否 | 4.6 | 网络 | 高 | 一次性 | 部分+ | 部分+ | 部分+ | 5.5.29 及早期版本、5.6.10 及早期版本 | | CVE-2013-1544 | MySQL Server | MySQL 协议 | 数据操作语言 | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 无 | 部分+ | 5.1.68 及早期版本、5.5.30 及早期版本、5.6.10 及早期版本 | | CVE-2013-1512 | MySQL Server | MySQL 协议 | 数据操作语言 | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 无 | 部分+ | 5.5.29 及早期版本 | | CVE-2013-1532 | MySQL Server | MySQL 协议 | 信息 Schema | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 无 | 部分+ | 5.1.68 及早期版本、5.5.30 及早期版本、5.6.10 及早期版本 | | CVE-2013-2389 | MySQL Server | MySQL 协议 | InnoDB | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 无 | 部分+ | 5.1.68 及早期版本、5.5.30 及早期版本、5.6.10 及早期版本 | | CVE-2013-2392 | MySQL Server | MySQL 协议 | 服务器优化器 | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 无 | 部分+ | 5.1.68 及早期版本、5.5.30 及早期版本、5.6.10 及早期版本 | | CVE-2013-1555 | MySQL Server | MySQL 协议 | 服务器分区 | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 无 | 部分+ | 5.1.67 及早期版本、5.5.29 及早期版本 | | CVE-2013-1526 | MySQL Server | MySQL 协议 | 服务器复制 | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 无 | 部分 | 5.5.29 及早期版本 | | CVE-2012-5614 | MySQL Server | MySQL 协议 | 服务器 XML | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 无 | 部分+ | 5.1.67 及早期版本、5.5.29 及早期版本 | | CVE-2013-2376 | MySQL Server | MySQL 协议 | 存储过程 | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 无 | 部分+ | 5.5.30 及早期版本、5.6.10 及早期版本 | | CVE-2013-1567 | MySQL Server | MySQL 协议 | 数据操作语言 | 否 | 3.5 | 网络 | 中 | 一次性 | 无 | 无 | 部分+ | 5.6.10 及早期版本 | | CVE-2013-1511 | MySQL Server | MySQL 协议 | InnoDB | 否 | 3.5 | 网络 | 中 | 一次性 | 无 | 无 | 部分+ | 5.5.30 及早期版本、5.6.10 及早期版本 | | CVE-2013-1566 | MySQL Server | MySQL 协议 | InnoDB | 否 | 3.5 | 网络 | 中 | 一次性 | 无 | 无 | 部分+ | 5.6.10 及早期版本 | | CVE-2013-2381 | MySQL Server | MySQL 协议 | 服务器权限 | 否 | 3.5 | 网络 | 中 | 一次性 | 无 | 部分 | 无 | 5.6.10 及早期版本 | | CVE-2013-1548 | MySQL Server | MySQL 协议 | 服务器类型 | 否 | 3.5 | 网络 | 中 | 一次性 | 无 | 无 | 部分+ | 5.1.63 及早期版本 | | CVE-2013-2391 | MySQL Server | MySQL 协议 | 服务器安装 | 否 | 3.0 | 本地 | 中 | 一次性 | 部分+ | 部分+ | 无 | 5.1.68 及早期版本、5.5.30 及早期版本、5.6.10 及早期版本 | | CVE-2013-1506 | MySQL Server | MySQL 协议 | 服务器锁定 | 否 | 2.8 | 网络 | 中 | 多次 | 无 | 无 | 部分 | 5.1.67 及早期版本、5.5.29 及早期版本、5.6.10 及早期版本 | | CVE-2013-1502 | MySQL Server | MySQL 协议 | 服务器分区 | 否 | 1.5 | 本地 | 中 | 一次性 | 无 | 无 | 部分+ | 5.5.30 及早期版本、5.6.9 及早期版本 | |
附录 — Oracle 支持工具 Oracle 支持工具执行概要 该重要补丁更新包含 1 个适用于 Oracle 支持工具的新安全修复程序。此漏洞必须通过身份验证才可远程利用,即必须有用户名和口令才能通过网络利用该漏洞。在此可获取此风险表的英语文本形式。 Oracle 提供的 Oracle 支持工具可帮助客户更快地解决问题。从 2013 年 4 月开始,重要补丁更新将包括针对 Oracle 支持工具的安全漏洞修复程序。 Oracle 支持工具风险表
| 漏洞号 | 组件 | 协议 | 子组件 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 受影响的支持版本 | 说明 | | 基本评分 | 访问途径 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | CVE-2013-1495 | Automatic Service Request | 无 | 无 | 否 | 6.9 | 本地 | 中 | 无 | 全 | 全 | 全 | 4.3.2 之前的所有版本 | 参见注释 1 | 注: - Oracle Auto Service Request (ASR) 是一个支持特性,针对特定的硬件故障自动生成服务请求。所有安装了 ASR 的系统都必须按照 My Oracle Support 说明 1541430.1 中的修补指南进行操作。
|
主题
Printer View