Oracle 重要补丁更新公告 — 2009 年 1 月 描述 重要补丁更新是针对多个安全漏洞的补丁集合。它还包含这些安全补丁因依赖关系而需要的非安全修复程序。重要补丁更新是累积式的(除以下注明外),但是每个公告只描述自上一个重要补丁更新以来添加的安全修复程序。因此,要了解有关以前累积的安全修复程序的信息,应该查看以前的重要补丁更新公告。请参见 重要补丁更新和安全警报,以获得有关 Oracle 安全性建议的信息。 考虑到成功攻击所带来的威胁,Oracle 强烈建议用户尽快应用修复程序。该重要补丁更新包含涉及所有产品的 41 个新安全修复程序。 受支持的产品和受影响的组件 该重要补丁更新解决的安全漏洞将影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在产品版本后面的 [方括号] 中。请单击 [方括号] 或可用补丁表中的链接,查看这些补丁的文档。 类别 I 首选支持或扩展支持(位于 Oracle 生命周期策略下)中的产品版本: | • Oracle 数据库 11g,版本 11.1.0.6 | [ 数据库 ] | | • Oracle 数据库 10g 第 2 版,版本 10.2.0.2、10.2.0.3、10.2.0.4 | [ 数据库 ] | | • Oracle 数据库 10g,版本 10.1.0.5 | [ 数据库 ] | | • Oracle 数据库 9i 第 2 版,版本 9.2.0.8、9.2.0.8DV | [ 数据库 ] | | • Oracle 安全备份版本 10.2.0.2、10.2.0.3 | [ 数据库 ] | | • Oracle 安全备份版本 10.1.0.1、10.1.0.2、10.1.0.3 | [ 数据库 ] | | • Oracle 内存数据库 TimesTen 版本 7.0.5.1.0、7.0.5.2.0、7.0.5.3.0、7.0.5.4.0 | [ 数据库 ] | | • Oracle 应用服务器 10g 第 3 版 (10.1.3),版本 10.1.3.3.0 | [ 应用服务器 ] | | • Oracle 应用服务器 10g 第 2 版 (10.1.2),版本 10.1.2.2.0、10.1.2.3.0 | [ 应用服务器 ] | | • Oracle 协作套件 10g,版本 10.1.2 | [ 协作套件 ] | | • Oracle 电子商务套件第 12 版,版本 12.0.6 | [ 电子商务套件 ] | | • Oracle 电子商务套件第 11i 版,版本 11.5.10.2 | [ 电子商务套件 ] | | • Oracle 企业管理器网格控制 10g 第 4 版,版本 10.2.0.4 | [ 企业管理器 ] | | • PeopleSoft Enterprise HRMS 版本:8.9 和 9.0 | [ PeopleSoft/JDE ] | | • JD Edwards Tools 版本 8.97 | [ PeopleSoft/JDE ] | | • Oracle WebLogic Server(以前为 BEA WebLogic Server)10.0(通过 MP1 发布)、10.3 GA | [ BEA ] | | • Oracle WebLogic Server(以前为 BEA WebLogic Server)9.0 GA、9.1 GA、9.2(通过 MP3 发布) | [ BEA ] | | • Oracle WebLogic Server(以前为 BEA WebLogic Server)8.1(通过 SP6 发布) | [ BEA ] | | • Oracle WebLogic Server(以前为 BEA WebLogic Server)7.0(通过 SP7 发布) | [ BEA ] | | • Oracle WebLogic Portal(以前为 BEA WebLogic Portal)10.0(通过 MP1 发布)、10.2 GA、10.3 GA | [ BEA ] | | • Oracle WebLogic Portal(以前为 BEA WebLogic Portal)9.2(通过 MP3 发布) | [ BEA ] | | • Oracle WebLogic Portal(以前为 BEA WebLogic Portal)8.1(通过 SP6 发布) | [ BEA ] | 类别 II 与类别 I 中所列产品捆绑在一起的产品和组件。
该类别中的产品不受该重要补丁更新所包含的修复程序的影响。 类别 III 单独安装不受支持但与类别 I 中所列产品一同安装可获支持的产品。 类别 III 中的产品只有在作为类别 I 中产品的一部分进行安装、并完全通过了受支持的配置和环境测试后,相应的补丁才可用。请参阅每种产品的文档,以了解有关补丁的支持与可用性的具体细节。 该类别中的产品不受该重要补丁更新所包含的修复程序的影响。
可用补丁表与风险表 带有累积式补丁的产品 更新中的 Oracle 数据库、Oracle 应用服务器、Oracle 企业管理器网格控制、Oracle 电子商务套件应用程序(仅第 12 版)、JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft Enterprise Portal Applications、PeopleSoft Enterprise PeopleTools 及 Siebel Enterprise 补丁均是累积式的;重要补丁更新中包含的任何产品补丁都包含之前的重要补丁更新中针对该产品的修复程序。 带有非累积式补丁的产品 Oracle 电子商务套件应用程序 11i 版的补丁不是累积式的,因此 Oracle 电子商务套件应用程序客户如果要应用先前的安全性修复程序,应到之前的重要补丁更新中查找。Oracle 协作套件补丁是累积式的,它包括在 2007 年 7 月的重要补丁更新中提供的修复程序。从 2007 年 7 月的重要补丁更新开始,Oracle 协作套件安全修复程序将使用一次性补丁基础架构提供,Oracle 通常使用该基础架构为客户提供单个的错误修复程序。BEA 产品的补丁不是累积式的(除非另有说明),因此 BEA 客户应参考以前的安全公告以确定要应用的先前的安全修复程序。 对于所管理的每个 Oracle 产品,请在文档中查阅下表中提到的可用补丁信息和安装说明。有关该重要补丁更新的 Oracle 产品文档概述,请参阅 2009 年 1 月 Oracle 重要补丁更新文档概述 MetaLink 说明 757511.1。
风险表内容
风险表只列出与该公告有关的补丁新修复的安全漏洞。之前的安全性修复程序的风险表包含在之前的重要补丁更新公告中。 该重要补丁更新提出的几个漏洞影响着多个产品。同一个漏洞在所有风险表中显示时使用相同的漏洞号。 斜体 表明其他产品领域中包含的代码中的漏洞。 安全漏洞使用 CVSS 2.0 版进行评估(请参阅用于解释 Oracle 如何应用 CVSS 2.0 的 Oracle CVSS 评估系统)。Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及成功利用的可能结果的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析其自己的风险。出于策略方面的原因,Oracle 不会透露有关可能会导致漏洞被成功利用的利用条件或结果的详细信息。Oracle 不提供除 CPU 或安全警报通知、可用补丁表、自述文件和常见问题解答所提供信息以外的其他具体漏洞信息。Oracle 不向个别客户提供有关 CPU 或安全警报的预先通知。最后,Oracle 不会针对产品漏洞发布可利用的入侵代码或“验证性”代码。 变通方法 考虑到成功攻击所带来的威胁,Oracle 强烈建议用户尽快应用修复程序。如果不应用 CPU 修复程序,则无法通过限制攻击所需的网络协议来降低成功攻击的风险。对于需要特定权限或者需要访问特定程序包的攻击,删除无特权用户的权限或者使其无法访问这些程序包可能有助于降低成功攻击的风险。这两种方法都有可能损害应用程序功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。 跳过重要补丁更新 如前所述,Oracle 强烈建议用户尽快应用修复程序。如果一个受支持的产品在连续两次的重要补丁更新中没有修复程序,那么有关该产品的详细信息和其补丁信息将会在下一次重要补丁更新公告中被移除。因此,如果该应用程序已错过两次或两次以上的重要补丁更新,我们强烈建议客户阅读之前的重要补丁更新公告。 之前重要补丁更新公告中具有安全修复程序的下列产品没有新的安全修复程序: - 参阅 2006 年 10 月重要补丁更新公告应用针对 Oracle Life Sciences Applications(先前称为 Oracle Pharmaceutical Applications)的最新安全修复程序。
- 请参阅 2008 年 4 月重要补丁更新公告应用针对 Oracle 安全企业搜索的最新安全修复程序。
-
不受支持的产品和不受支持的版本 不受支持的产品和版本没有测试过是否存在该重要补丁更新提出的安全漏洞。但是,早期的受影响的版本也可能会受这些安全漏洞的影响。因此,Oracle 建议客户将其 Oracle 产品更新到受支持的版本。 不再为生命周期支持策略的首选支持或扩展支持阶段中不再涵盖的产品版本提供重要补丁更新补丁。我们建议客户升级至最新的受支持 Oracle 产品版本,以获取补丁。 扩展支持阶段: 已购买生命周期支持策略下的扩展支持的客户可以使用重要补丁更新补丁。客户必须具有有效的扩展支持服务合同,才能在扩展支持阶段下载重要补丁更新补丁。更新通过持续支持来支持的产品或更新任何不受支持的产品无需下载重要补丁更新补丁。 受支持的数据库、融合中间件和协作套件产品根据软件错误更正支持策略(参见 MetaLink 说明 209768.1)进行修补。有关支持策略和支持阶段的详细指南,请查看技术支持策略。 Oracle 数据库和 Oracle 应用服务器的 应请求 模型 Oracle 将仅为客户要针对下一个重要补丁更新(基于历史数据)下载的平台/版本组合预先创建补丁。只要客户要求,我们将为以前固定的 Oracle 数据库和 Oracle 应用服务器的平台/版本组合创建补丁。未来版本和补丁集中将继续包含漏洞修复程序。 有关下一个重要补丁更新支持的产品、版本和平台以及“应请求”补丁的请求流程的其他详细信息,请参阅 2009 年 1 月 的重要补丁更新中针对 Oracle 数据库和融合中间件产品的可用信息( MetaLink 说明 753340.1)。 致谢声明 该重要补丁更新提出的安全漏洞由以下人员或组织发现并向 Oracle 报告:Intellect 的 Deniz Cevik;Information Risk Management Plc (IRM Plc) 的 Andy Davis;Application Security Inc. 的 Esteban Martinez Fayo;Red Database Security 的 Franz Huell;Wasim Iqbal;Joxean Koret;TippingPoint (3com) 的 Joxean Koret;Red Database Security 的 Alexander Kornbrust;ACROS Security 的 Sasa Kos;iDefense 的 Code Audit Labs;NGS Software 的 David Litchfield;Fortinet, Inc. 的 Zhenhua Liu;Centre for the Protection of National Infrastructure 的 Andy Sch.;JPCERT/CC Vulnerability Handling Team 的 Daiki Fukumori(Secure Sky Technology);Assurent Secure Technologies 的 Vulnerability Research Team 以及 Fortinet, Inc. 的 Xiaopeng Zhang。 深度安全贡献者 Oracle 向这些为我们的深度安全计划作出贡献的人表示感谢(参见常见问题解答)。对于导致在以后版本中大量修改 Oracle 代码或文档但是严重程度不足以归类到重要补丁更新中的安全漏洞问题,如果有人提供相关的信息、发现或建议,则会因为深度安全作出贡献而受到褒奖。 在本次重要补丁更新中,Oracle 感谢 Imperva, Inc. 的 Guy Karlebach、Sentrigo 的 Aviv Pode 以及 Digital Security 的 Alexandr Polyakov 对 Oracle 的深度安全计划做出的贡献。 重要补丁更新日程表 重要补丁更新在距 1 月、4 月、7 月和 10 月的第 15 日最近的星期二发布。接下来的四个日期为: - 2009 年 4 月 14 日
- 2009 年 7 月 14 日
- 2009 年 10 月 13 日
- 2010 年 1 月 12 日
参考资料 修改历史
| 2009 年 1 月 13 日 | 初始版本 | | 2009 1 月 14 日 | 修订版 1 |
附录 A — Oracle 数据库 Oracle 数据库执行概要 该重要补丁更新包含 20 个适用于下列数据库产品的新安全修复程序: - 10 个针对 Oracle 数据库的新安全修复程序。其中没有任何漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。其中 2 个修复程序适用于仅具有客户端的安装(即,没有安装 Oracle 数据库的安装)。
- 9 个针对 Oracle 安全备份产品的新安全修复程序。所有这些漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。
- 1 个针对 Oracle TimesTen 数据服务器的新安全修复程序。本漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。
- 以下产品没有新的安全修复程序:
- Oracle 安全企业搜索,它是一个独立产品, 不随 Oracle 数据库一同安装。
- Oracle Audit Vault,它是一个独立产品, 不随 Oracle 数据库一同安装。
- Oracle HTTP Server 默认情况下随 Oracle 数据库 9i 第 2 版一同安装。对于 Oracle 数据库版本 10g 及以上,Oracle HTTP Server 需要单独安装(位于随附 CD 中), 不会随数据库一同安装。Oracle 建议客户将此重要补丁更新应用于 Oracle HTTP Server 安装,包括默认情况下随 Oracle 9i 数据库 第 2 版一同安装的产品。
Oracle 数据库风险表 | 漏洞号 | 组件 | 协议 | 所需的程序包和/或权限 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 最后受影响的补丁集(每个受支持版本) | 附注 | | 基本评分 | 访问向量 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | | CVE-2008-5437 | Job Queue | Oracle Net | 在 DBMS_IJOB 上执行 | 否 | 5.5 | 网络 | 低 | 一次性 | 部分+ | 部分+ | 无 | 9.2.0.8、9.2.0.8DV、10.1.0.5、10.2.0.4 和 11.1.0.6 | | | CVE-2008-5436 | Oracle OLAP | Oracle Net | 创建会话 | 否 | 5.5 | 网络 | 低 | 一次性 | 无 | 部分+ | 部分 | 9.2.0.8、9.2.0.8DV、10.1.0.5 和 10.2.0.4 | | | CVE-2008-3978 | Oracle Spatial | Oracle Net | 创建会话 | 否 | 5.5 | 网络 | 低 | 一次性 | 部分 | 部分 | 无 | 10.1.0.5 | | | CVE-2008-3979 | Oracle Spatial | Oracle Net | 删除表、创建过程 | 否 | 5.5 | 网络 | 低 | 一次性 | 部分+ | 部分+ | 无 | 10.1.0.5, 10.2.0.2 | | | CVE-2008-4015 | Oracle Streams | Oracle Net | 在 SYS.DBMS_STREAMS_AUTH 上执行 | 否 | 5.5 | 网络 | 低 | 一次性 | 部分+ | 部分+ | 无 | 10.1.0.5 | | | CVE-2008-3974 | Oracle OLAP | Oracle Net | 在 SYS.OLAPIMPL_T 上执行 | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 无 | 部分+ | 9.0.2.8、9.2.0.8DV | | | CVE-2008-3997 | Oracle OLAP | Oracle Net | 在 SYS.DBMS_XSOQ_ODBO 上执行 | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 无 | 部分 | 10.1.0.5, 10.2.0.3 | | | CVE-2008-3999 | Oracle OLAP | Oracle Net | 在 SYS.OLAPIMPL_T 上执行 | 否 | 4.0 | 网络 | 低 | 一次性 | 无 | 无 | 部分+ | 9.2.0.8、9.2.0.8DV、10.1.0.5 | | | CVE-2008-5439 | SQL*Plus Windows GUI | 本地 | 无 | 否 | 4.0 | 网络 | 低 | 一次性 | 部分 | 无 | 无 | 10.2.0.4 | | | CVE-2008-3973 | SQL*Plus Windows GUI | 本地 | 无 | 否 | 1.7 | 本地 | 低 | 一次性 | 部分+ | 无 | 无 | 参见注释 | 参见注释 1 | 注: - 在所有受支持的版本中得到修复。
仅具有 Oracle 数据库客户端的安装 以下 Oracle 数据库漏洞会影响仅具有客户端的安装:CVE-2008-5439、CVE-2008-3973。
Oracle Application Express 概述 Oracle Application Express 是一个适用于 Oracle 数据库的快速 Web 应用程序开发工具。在 Oracle 数据库 10g 第 2 版及早期版本中, Oracle Application Express 是通过 Oracle 数据库 CD 集中的随附 CD 或从 Oracle 网站下载的程序包单独安装的。如果您没有从随附 CD 中安装 Oracle Application Express,则无需进一步的操作。 从 Oracle 数据库 11g 开始, Oracle Application Express 包含在 Oracle 数据库默认安装中。因此,安装了 Oracle 数据库 11g 的用户必须安装O racle Application Express 3.1.2 或更高版本,以应用安全修复程序。 要检查系统中是否存在 Application Express,以 SYS 身份从 SQL 提示符运行以下命令:
select username from dba_users where username in ('FLOWS_010500','FLOWS_010600','FLOWS_020000','FLOWS_020200','FLOWS_030000', 'FLOWS_030100'); 如果结果是“no rows selected”,则没有安装该产品版本,无需进一步操作。其他输出表明安装了 Oracle Application Express,即使目前没有使用该软件。 从任意模式中找出执行下列查询的设备上安装的 Application Express 版本:
select * from apex_release; 升级 Oracle Application Express 以上风险表中没有列出 Oracle Application Express 安全漏洞。Oracle Application Express 中的安全漏洞已在版本 3.1.2 及以上版本中修复。有关如何升级软件以安装最新版本的 Oracle Application Express 的说明,可在以下网址找到:
http://www.oracle.com/technetwork/cn/devtools/apex/download-096178-zhs.html。
内存数据库 TimesTen 风险表 | 漏洞号 | 组件 | 协议 | 所需的程序包和/或权限 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 最后受影响的补丁集(每个受支持版本) | 附注 | | 基本评分 | 访问向量 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | | CVE-2008-5440 | TimesTen 数据服务器 | HTTP | 无 | 是 | 7.5 | 网络 | 低 | 无 | 部分+ | 部分+ | 部分+ | 7.0.5.0.0 | 参见注释 1 | 注: - 关于更多 TimesTen 数据库升级到什么版本的信息,请查看 2009 年 1 月 的重要补丁更新中针对 Oracle 数据库和融合中间件产品的可用信息 MetaLink 说明 753340.1
内存数据库 TimesTen 概述 内存数据库 Times Ten 是一个内存驻留关系数据库,目标是需要即时响应的实时应用程序。它被作为嵌入式数据库部署在应用程序层中。如果您未安装内存数据库 Times Ten,则无需任何其他操作。
升级内存数据库 TimesTen 内存数据库 TimesTen 的安全漏洞在版本 7.0.5.1.0 中得到了修复。所有之前的版本应升级至版本 7.0.5.1.0 或更高版本。有关如何升级软件以安装最新版本的内存数据库 TimesTen 的说明,可在以下网址找到:
http://download.oracle.com/otn_hosted_doc/timesten/703/TimesTen-Documentation/install.pdf。
Oracle 安全备份风险表 | 漏洞号 | 组件 | 协议 | 所需的程序包和/或权限 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 最后受影响的补丁集(每个受支持版本) | 附注 | | 基本评分 | 访问向量 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | | CVE-2008-4006 | Oracle 安全备份 | HTTP | 无 | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 10.1.0.3 | 参见注释 1 | | CVE-2008-5444 | Oracle 安全备份 | NDMP | 无 | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 10.2.0.2 | 参见注释 1 | | CVE-2008-5448 | Oracle 安全备份 | HTTP | 无 | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 10.2.0.2 | 参见注释 1 | | CVE-2008-5449 | Oracle 安全备份 | HTTP | 无 | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 10.2.0.2 | 参见注释 1 | | CVE-2008-3981 | Oracle 安全备份 | TCP | 无 | 是 | 5.0 | 网络 | 低 | 无 | 部分+ | 无 | 无 | 10.1.0.1 | 参见注释 2 | | CVE-2008-5441 | Oracle 安全备份 | NDMP | 无 | 是 | 5.0 | 网络 | 低 | 无 | 无 | 无 | 部分+ | 10.2.0.2 | 参见注释 2 | | CVE-2008-5442 | Oracle 安全备份 | NDMP | 无 | 是 | 5.0 | 网络 | 低 | 无 | 无 | 无 | 部分 | 10.2.0.2 | 参见注释 2 | | CVE-2008-5443 | Oracle 安全备份 | NDMP | 无 | 是 | 5.0 | 网络 | 低 | 无 | 无 | 无 | 部分 | 10.2.0.2 | 参见注释 2 | | CVE-2008-5445 | Oracle 安全备份 | NDMP | 无 | 是 | 5.0 | 网络 | 低 | 无 | 无 | 无 | 部分 | 10.2.0.2 | 参见注释 2 | 注: - CVSS 基本评分仅对 Windows 评出 10 分。对于 Linux、Unix 和其他平台 CVSS 基本评分为 7.5,而且对机密性、完整性以及可用性的影响评为部分+。Oracle 安全备份版本 10.2.0.3 中包括修复程序。使用之前版本的 Oracle 安全备份的客户应该升级到版本 10.2.0.3 或更高。
- Oracle 安全备份版本 10.2.0.3 中包括修复程序。使用之前版本的 Oracle 安全备份的客户应该升级到版本 10.2.0.3 或更高。
Oracle 安全备份概述 Oracle 安全备份借助备份加密、动态驱动共享和磁带传送等高级功能提供用于保护各种分布式、异构文件系统数据以及 Oracle 数据库的集中化磁带备份管理。 升级 Oracle 安全备份 Oracle 安全备份安全漏洞在版本 10.2.0.3 中已修复。所有以前的版本都应直接升级为 10.2.0.3 版或更高版本。有关如何升级软件以安装最新版本的 Oracle 安全备份的说明,可在以下网址找到:
http://www.oracle.com/technetwork/cn/testcontent/secbackup-095166-zhs.html。
附录 B — Oracle 应用服务器 Oracle 应用服务器执行概要 该重要补丁更新包含 4 个适用于 Oracle 应用服务器的新安全修复程序。其中 2 个漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。所有这些修复程序都不适用于仅具有客户端的安装(即,没有安装 Oracle 应用服务器的安装)。 与 Oracle 数据库捆绑在一起的 Oracle 应用服务器产品受 Oracle 数据库部分中所列的漏洞影响。本部分并未对其作进一步讨论,也没有将它们列在 Oracle 应用服务器风险表中。
Oracle 应用服务器风险表 | 漏洞号 | 组件 | 协议 | 所需的程序包和/或权限 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅 风险表定义) | 最后受影响的补丁集(每个受支持版本) | 附注 | | 基本评分 | 访问向量 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | | CVE-2008-4017 | OC4J | LDAP | 无 | 是 | 5.0 | 网络 | 低 | 无 | 部分 | 无 | 无 | 10.1.2.3 | | | CVE-2008-4014 | Oracle BPEL 流程管理器 | HTTP | 有效会话 | 否 | 4.9 | 网络 | 中 | 一次性 | 部分 | 部分 | 无 | 无 | 参见注释 1 | | CVE-2008-5438 | Oracle Portal | HTTP | 无 | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 10.1.2.3, 10.1.4.2 | | | CVE-2008-2623 | Oracle JDeveloper | 本地 | 无 | 否 | 2.1 | 本地 | 低 | 无 | 部分+ | 无 | 无 | 10.1.2.3 | 参见注释 2 | 注: - 在所有受支持的版本中得到修复。
- 表中的这些版本指的是 JDeveloper 的独立版本。
仅具有 Oracle 应用服务器客户端的安装 没有影响仅具有 Oracle 应用服务器客户端的安装(没有安装 Oracle 应用服务器的安装)的新漏洞。</> 附录 C — Oracle 协作套件 Oracle 协作套件执行概要 该重要补丁更新包含 4 个适用于 Oracle 协作套件的新安全修复程序。该漏洞无身份验证则无法实现远程利用,即,若没有用户名和口令,则不可以通过网络利用这些漏洞。该修复程序不适用于仅具有客户端的安装(即,没有安装 Oracle 协作套件的安装)。 该重要补丁更新不包含任何针对 Oracle 协作套件中代码内没有的 Oracle 应用服务器漏洞的新修复程序。Oracle 协作套件绑定了 Oracle 数据库。 Oracle 数据库部分中的 Oracle 数据库部分中列出的所有安全性修复程序都适用。
Oracle 协作套件风险表 | 漏洞号 | 组件 | 协议 | 所需的程序包和/或权限 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅 风险表定义) | 最后受影响的补丁集(每个受支持版本) | 附注 | | 基本评分 | 访问向量 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | | CVE-2008-4016 | Collaborative Workspaces | HTTP | 有效会话 | 否 | 4.0 | 网络 | 低 | 一次性 | 部分 | 无 | 无 | 10.1.2 | | 仅具有 Oracle 协作套件客户端的安装 没有影响仅具有 Oracle 协作套件客户端的安装(没有安装 Oracle 协作套件的安装)的新漏洞。</>
附录 D — Oracle 电子商务套件和应用程序 Oracle 电子商务套件和应用程序执行概要 该重要补丁更新包含 4 个适用于 Oracle 应用套件的新安全修复程序。其中不存在无需身份验证即可远程利用的漏洞(即,无人可以通过网络利用这些漏洞而无需用户名和口令)。所有这些修复程序都不适用于仅具有客户端的安装(即,没有安装 Oracle 应用套件的安装)。 Oracle 电子商务套件产品包括一个受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库。Oracle 电子商务套件产品暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库漏洞没有列在 Oracle 电子商务套件风险表中,但是由于影响该数据库版本的漏洞可能会影响 Oracle 电子商务套件产品,因此 Oracle 建议用户将 2009 年 1 月的重要补丁更新应用到嵌入式数据库。
Oracle 电子商务套件风险表 | 漏洞号 | 组件 | 协议 | 所需的程序包和/或权限 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅 风险表定义) | 最后受影响的补丁集(每个受支持版本) | 附注 | | 基本评分 | 访问向量 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | | CVE-2008-5458 | Oracle Application Object Library | HTTP | 有效会话 | 否 | 5.5 | 网络 | 低 | 一次性 | 部分 | 部分 | 无 | 11.5.10 CU2 | | | CVE-2008-5454 | iProcurement | HTTP | 有效会话 | 否 | 4.9 | 网络 | 中 | 一次性 | 部分 | 部分 | 无 | 11.5.10 CU2、12.0.6 | | | CVE-2008-5446 | Oracle Applications Framework | HTTP | 无 | 否 | 3.5 | 网络 | 中 | 一次性 | 部分 | 无 | 无 | 11.5.10 CU2、12.0.6 | | | CVE-2008-5450 | Oracle Applications Platform Engineering | 本地 | 有效会话 | 否 | 1.0 | 本地 | 高 | 一次性 | 部分+ | 无 | 无 | 11.5.10 CU2、12.0.6 | | 仅具有 Oracle 应用套件客户端的安装 没有影响仅具有 Oracle 应用套件客户端的安装(没有安装 Oracle 应用套件的安装)的新漏洞。</> 附录 E — Oracle 企业管理器 Oracle 企业管理器执行概要 该重要补丁更新包含 1 个适用于 Oracle 企业管理器的新安全修复程序。该漏洞无身份验证则无法实现远程利用,即,若没有用户名和口令,则不可以通过网络利用这些漏洞。该修复程序不适用于仅具有客户端的安装(即,没有安装 Oracle 企业管理器的安装)。 Oracle 企业管理器 10g 网格控制包含 Oracle 数据库和 Oracle 应用服务器组件,这些组件受 Oracle 数据库和 Oracle 应用服务器部分中所列漏洞的影响。Oracle 企业管理器特定安装的暴露程度取决于所使用的 Oracle 数据库和 Oracle 应用服务器版本。Oracle 建议客户将 2009 年 1 月的重要补丁更新应用到嵌入式 Oracle 数据库和 Oracle 应用服务器。 Oracle 企业管理器 10g 网格控制之前的 Oracle 企业管理器版本包含 Oracle 数据库组件,这些组件受 Oracle 数据库部分中所列漏洞的影响。Oracle 企业管理器特定安装的暴露程度取决于所使用的 Oracle 数据库版本。Oracle 建议客户将 2009 年 1 月的重要补丁更新应用到嵌入式 Oracle 数据库。 Oracle 企业管理器风险表 | 漏洞号 | 组件 | 协议 | 所需的程序包和/或权限 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅 风险表定义) | 最后受影响的补丁集(每个受支持版本) | 附注 | | 基本评分 | 访问向量 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | | CVE-2008-5447 | Oracle 企业管理器 | HTTP | 有效会话 | 否 | 5.5 | 网络 | 低 | 一次性 | 部分 | 部分 | 无 | 10.2.0.4 | | 仅具有 Oracle 企业管理器客户端的安装 没有影响仅具有 Oracle 企业管理器客户端的安装(没有安装 Oracle 企业管理器的安装)的新漏洞。</>
附录 F — Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 执行概要 该重要补丁更新包含 6 个适用于 PeopleSoft 和 JDEdwards 套件的新安全修复程序。其中不存在无需身份验证即可远程利用的漏洞(即,无人可以通过网络利用这些漏洞而无需用户名和口令)。 Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 风险表 | 漏洞号 | 组件 | 协议 | 所需的程序包和/或权限 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅 风险表定义) | 最后受影响的补丁集(每个受支持版本) | 附注 | | 基本评分 | 访问向量 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | | CVE-2008-4007 | PeopleSoft Enterprise 组件 | HTTP | 有效会话 | 否 | 6.5 | 网络 | 低 | 一次性 | 部分 | 部分+ | 部分+ | 8.9.18 | | | CVE-2008-5452 | PeopleSoft Enterprise HRMS | HTTP | 有效会话 | 否 | 5.5 | 网络 | 低 | 一次性 | 部分 | 部分 | 无 | 8.9.18 | | | CVE-2008-5463 | PeopleSoft Enterprise 校园解决方案 | HTTP | 有效会话 | 否 | 4.9 | 网络 | 中 | 一次性 | 部分 | 部分 | 无 | 8.9.18, 9.0.8 | | | CVE-2008-5456 | PeopleSoft Enterprise HRMS | HTTP | 有效会话 | 否 | 4.9 | 网络 | 中 | 一次性 | 部分 | 部分 | 无 | 8.9.18, 9.0.8 | | | CVE-2008-5455 | PeopleSoft Enterprise HRMS — ePerformance | HTTP | 有效会话 | 否 | 4.9 | 网络 | 中 | 一次性 | 部分 | 部分 | 无 | 8.9.18 | | | CVE-2008-5451 | JD Edwards Tools | HTTP | 有效会话 | 否 | 4.0 | 网络 | 低 | 一次性 | 部分 | 无 | 无 | 8.97.2.5 | | 附录 G — Oracle Siebel Enterprise Oracle Siebel Enterprise 执行概要 该重要补丁更新不包含适用于 Siebel 套件的新安全修复程序。参阅 2008 年 4 月重要补丁更新,应用针对 Siebel 产品的最新修复程序。
附录 H — BEA 产品套件 BEA 产品执行概要 该重要补丁更新包含 5 个适用于 BEA 产品套件的新安全修复程序。所有这些漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。
BEA 产品套件风险表 | 漏洞号 | 组件 | 协议 | 所需的程序包和/或权限 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅 风险表定义) | 最后受影响的补丁集(每个受支持版本) | 附注 | | 基本评分 | 访问向量 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | | CVE-2008-5457 | 适用于 Apache、Sun 和 IIS web 服务器的 WebLogic Server 插件 | HTTP | Apache、Sun 或 IIS | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 10.3,
10.0 MP、
9.2 MP3、
9.1、9.0、
8.1 SP6、
7.0 SP7 | 参见注释 1 | | CVE-2008-5462 | WebLogic Portal | HTTP | 无 | 是 | 6.8 | 网络 | 中 | 无 | 部分 | 部分 | 部分 | 10.3,
10.2,
10.0 MP1、
9.2 MP3、
8.1 SP6 | 参见注释 2 | | CVE-2008-5461 | WebLogic Server | HTTP | WLS 控制台 | 是 | 6.8 | 网络 | 中 | 无 | 部分 | 部分 | 部分 | 10.3,
10.0 MP、
9.2 MP3、
9.1、9.0、
8.1 SP6、
7.0 SP7 | 参见注释 2 | | CVE-2008-5459 | WebLogic Server | HTTP | 无 | 是 | 5.0 | 网络 | 低 | 无 | 部分 | 无 | 无 | 10.3 | 参见注释 2 | | CVE-2008-5460 | WebLogic Server | HTTP | 无 | 是 | 2.6 | 网络 | 高 | 无 | 部分 | 无 | 无 | 10.3,
10.0 MP1、
9.2 MP3、
9.1、9.0 | 参见注释 2 | 注: - 按照 CVE-2008-5457 的链接获得与相应的安全修复程序相关的下载、安装和其他信息。WebLogic Server 插件的修复程序是累积式的。该修复程序的分发包括 2008 年 8 月 和 10 月分别发布的 CVE-2008-3257 和 CVE-2008-4008。
- 按照每个 CVE 号的链接获得与相应的漏洞修复程序相关的下载、安装和其他信息: CVE-2008-5459、 CVE-2008-5460、 CVE-2008-5461、 CVE-2008-5462
| 
主题
Printer View