Oracle 重要补丁更新公告 — 2011 年 1 月


说明

重要补丁更新是针对多个安全漏洞的补丁集合。它还包含这些安全补丁因依赖关系而需要的非安全修复程序。重要补丁更新是累积式的(除以下注明外),但是每个公告只描述自上一个重要补丁更新以来添加的安全修复程序。因此,要了解有关以前累积的安全修复程序的信息,应该查看以前的重要补丁更新公告。请参见:

重要补丁更新和安全警报,以获得有关 Oracle 安全性公告的信息。

考虑到攻击得逞所带来的威胁,Oracle 强烈建议用户尽快应用 CPU 修复程序。 该重要补丁更新包含针对下列所有产品系列的 66 个新的安全修复程序。

受影响的产品和组件

该重要补丁更新解决的安全漏洞将影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在与指定的“产品和版本”列对应的“可用补丁”列中。请单击下面的“可用补丁”列中或可用补丁表中的链接,查看这些补丁的文档。

Oracle 终身支持政策的首选支持或扩展支持中受影响的产品版本:

受影响的产品和版本 可用补丁
Oracle Database 11g 第 2 版,版本 11.2.0.1 数据库
Oracle Database 11g 第 1 版,版本 11.1.0.7 数据库
Oracle Database 10g 第 2 版,版本 10.2.0.3、10.2.0.4、10.2.0.5 数据库
Oracle Database 10g 第 1 版,版本 10.1.0.5 数据库
Oracle Audit Vault 10g 第 2 版,版本 10.2.3.2 数据库
Oracle Secure Backup 10g 第 3 版,版本 10.3.0.2 数据库
Oracle Fusion Middleware 11g 第 1 版,版本 11.1.1.2.0、11.1.1.3.0 融合中间件
Oracle Application Server 10g 第 2 版,版本 10.1.2.3.0 融合中间件
Oracle Beehive,版本 2.0.1.0、2.0.1.1、2.0.1.2、2.0.1.2.1、2.0.1.3 融合中间件
Oracle BI Publisher,版本 10.1.3.3.2、10.1.3.4.0、10.1.3.4.1、11.1.1.3 融合中间件
Oracle Document Capture,版本 10.1.3.4、10.1.3.5 融合中间件
Oracle GoldenGate Veridata,版本 3.0.0.4 融合中间件
Oracle JRockit 版本 R27.6.7 及早期版本(JDK/JRE 1.4.2、5、6)、R28.0.1 及早期版本(JDK/JRE 5、6) 融合中间件
Oracle Outside In Technology,版本 8.3.0 融合中间件
Oracle WebLogic Server,版本 7.0.7、8.1.6、9.0、9.1、9.2.3、10.0.2、10.3.2、10.3.3 融合中间件
Oracle Enterprise Manager 套件第 10 版,版本 10.2.0.5 Enterprise Manager 套件
Oracle Enterprise Manager Real User Experience Insight,版本 RUEI 6.0 Enterprise Manager 套件
Oracle E-Business Suite 第 12 版,版本 12.0.4、12.0.5、12.0.6、12.1.1、12.1.2、12.1.3 E-Business Suite
Oracle E-Business Suite 第 11i 版,版本 11.5.10.2 E-Business Suite
Oracle Agile Core,版本 9.3.0.2、9.3.1 Oracle Supply Chain
Oracle Transportation Manager,版本 5.5、6.0、6.1、6.2 Oracle Supply Chain
Oracle PeopleSoft Enterprise CRM,版本 8.9、9.0、9.1 PeopleSoft
Oracle PeopleSoft Enterprise HRMS,版本 8.9、9.0、9.1 PeopleSoft
Oracle PeopleSoft Enterprise PeopleTools,版本 8.49、8.50、8.51 PeopleSoft
Oracle Argus Safety,版本 5.0、5.0.1、5.0.2、5.0.3 卫生科学管理软件
Oracle InForm Portal,版本 4.5、4.6、5.0 卫生科学管理软件
Oracle Sun 产品套件 Oracle Sun 产品套件
Oracle Open Office 版本 3.2.1 和 StarOffice/StarSuite 版本 7、8 Oracle Sun 产品套件


可用补丁表与风险表

使用累积式补丁的产品

重要补丁更新中的 Oracle 数据库、Oracle 融合中间件、Oracle Enterprise Manager Grid Control、Oracle E-Business Suite 管理软件、JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft Enterprise Portal 管理软件、PeopleSoft Enterprise PeopleTools 和 Siebel Enterprise、Oracle 行业管理软件和 Oracle VM 补丁均是累积式的;重要补丁更新中包括的任何产品补丁都包含之前的重要补丁更新中针对该产品的修复程序。

可用补丁表

对于所管理的每个 Oracle 产品,请查阅下表中提到的有关可用补丁信息和安装说明的文档。有关该重要补丁更新的相关 Oracle 产品文档的概述,请参阅 2011 年 1 月 Oracle 重要补丁更新文档概述 My Oracle Support 说明 1273550.1


产品分组 风险表 可用补丁和安装信息
Oracle 数据库 Oracle 数据库风险表 2011 年 1 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1263374.1
Oracle 融合中间件 Oracle 融合中间件风险表 2011 年 1 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1263374.1
Oracle Enterprise Manager Oracle Enterprise Manager 风险表 2011 年 1 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1263374.1
Oracle 管理软件 — E-Business Suite Oracle 管理软件,E-Business Suite 风险表 2011 年 1 月 Oracle E-Business Suite 重要补丁更新说明 My Oracle Support 说明 1271167.1
Oracle 管理软件 — Oracle PeopleSoft Enterprise 和 Oracle Supply Chain 产品套件 Oracle 管理软件、PeopleSoft 和 Oracle Supply Chain 产品风险表 针对 PeopleSoft Enterprise、JD Edwards EnterpriseOne、Siebel 和 Oracle Supply Chain Suite 产品的重要补丁更新知识文档 My Oracle Support 说明 1273607.1
Oracle 卫生科学管理软件 Oracle 行业管理软件风险表 2011 年 1 月 Oracle 卫生科学管理软件重要补丁更新,My Oracle Support 说明 1268333.1
Oracle Sun 产品套件 Oracle Sun 产品套件风险表 2011 年 1 月重要补丁更新中针对 Oracle Sun 产品套件的补丁发布文档,My Oracle Support 说明 1273260.1

风险表内容

风险表只列出与公告涉及到的补丁新修复的安全漏洞。之前的安全修复程序的风险表包含在之前的重要补丁更新公告中。在此可获取本文档中提供的风险表的英语文本版本。

该重要补丁更新提出的几个漏洞影响着多个产品。一个影响多个产品的漏洞将在所有风险表中显示相同的漏洞号斜体 表明其他产品领域中包含的代码中的漏洞。

安全漏洞使用 CVSS 2.0 版进行评估(请参阅用于解释 Oracle 如何应用 CVSS 2.0 的 Oracle CVSS 评估系统)。Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及利用得逞的可能结果的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析其自己的风险。出于政策方面的原因,Oracle 不会透露有关可能会导致漏洞利用得逞的利用条件或结果的详细信息。Oracle 不提供除 CPU 或安全警报通知、可用补丁表、自述文件和常见问题解答所提供信息以外的其他具体漏洞信息。Oracle 不向个别客户提供有关 CPU 或安全警报的预先通知。最后,Oracle 不会针对产品漏洞发布可利用的入侵代码或“验证性”代码。有关详细信息,请参阅 Oracle 漏洞公开政策

变通方法

考虑到攻击得逞所带来的威胁,Oracle 强烈建议客户尽快应用 CPU 修复程序。如果不应用 CPU 修复程序,则无法通过阻止攻击所需的网络协议来降低攻击得逞的风险。对于需要特定权限或者需要访问特定程序包的攻击,对不需要这些权限的用户删除这些权限或者使其无法访问这些程序包可能有助于降低攻击得逞的风险。这两种方法都有可能损害应用程序功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。

漏掉的重要补丁更新

Oracle 强烈建议客户尽快应用安全修复程序。如果客户漏掉了一个或多个重要补丁更新,担心该 CPU 中未公布其修复程序的产品出现安全问题,请查看以前的重要补丁更新公告以确定要采取的行动。

产品相关性

某些 Oracle 产品可能依赖于其他 Oracle 产品。因此,该重要补丁更新中发布的安全漏洞修复程序可能影响一个或多个相关的 Oracle 产品。有关这些相关产品以及对相关产品应用补丁的详细信息,请参阅 2011 年 1 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1263374.1

不受支持的产品和版本

不再为终身支持政策的首选支持或扩展支持阶段中不再涵盖的产品版本提供重要补丁更新补丁。

我们建议客户升级至受支持的 Oracle 产品版本,以获取补丁。没有对不受支持的产品和版本测试过是否存在该重要补丁更新提出的安全漏洞。但是,很可能受影响的版本的那些早期版本也会受这些安全漏洞的影响。

处于扩展支持阶段的产品

已购买终身支持政策下的扩展支持的客户可以使用重要补丁更新补丁。客户必须具有有效的扩展支持服务合同,才能在扩展支持阶段下载重要补丁更新补丁。

受支持的数据库、融合中间件、EM Grid Control 和 Collaboration Suite 产品根据软件错误更正支持政策(参见 My Oracle Support 说明 209768.1)进行修补。有关支持政策和支持阶段的详细指南,请查看技术支持政策

应请求 模式

Oracle 仅为客户要针对下一个重要补丁更新(基于历史数据)下载的平台/版本组合预先创建补丁。只要客户要求,我们将为以前固定的 Oracle 数据库、Oracle 应用服务器和 Enterprise Manager 的平台/版本组合创建补丁。

有关“应请求”补丁的更多详情,请参阅 2011 年 1 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1263374.1

致谢声明

该重要补丁更新修复的安全漏洞由以下人员或组织向 Oracle 报告:Red Database Security 的 Alexander Kornbrust;Digital Security 的 Alexandr Polyakov;Digital Security Research Group 的 Alexey Sintsov;与 TippingPoint 的零时差项目合作的 Andrea Micalizzi aka rgod;Digital Security Research Group 的 Andrey Labunets;Neohapsis, Inc. 的 Cris Neckar;Daniel Fahlgren;Application Security, Inc. 的 Esteban Martinez Fayo;Digital Security Research Group 的 Evdokimov Dmitriy;Karan Saberwal;Laszlo Toth;SecurityReason 的 Maksymilian Arciemowicz;Application Security, Inc. 的 Martin Rakhmanov;Accuvant 的 Matt Parcell;与 TippingPoint 的零时差项目合作的 Monarch2020;unsecurityresearch.com 的 Monarch2020;Accuvant 的 Robert Clugston;Security-Assessment.com 的 Roberto Suggi Liverani;Rodrigo Rubira Branco (BSDaemon),通过 TippingPoint 的零时差项目;以及来自 7safe 的 Sumit Siddharth。

深度安全贡献者

Oracle 向那些为我们的深度安全计划作出贡献的人表示感谢(参见常见问题解答)。对于导致在以后版本中大量修改 Oracle 代码或文档但是严重程度不足以归类到重要补丁更新中的安全漏洞问题,如果有人提供相关的信息、发现或建议,则会因为深度安全作出贡献而受到褒奖。

对于该重要补丁更新,Oracle 向那些为我们的深度安全计划作出贡献的人表示感谢:TippingPoint 的零时差项目的 Abdul-Aziz Hariri、Red Database Security 的 Alexander Kornbrust、以前为 NGS Software 工作的 David Litchfield。

重要补丁更新日程表

重要补丁更新在距 1 月、4 月、7 月和 10 月的第 17 日最近的星期二发布。接下来的四个日期为:

  • 2011 年 4 月 19 日
  • 2011 年 7 月 19 日
  • 2011 年 10 月 18 日
  • 2012 年 1 月 17 日

参考资料


修改记录


日期 注释
2011 年 2 月 1 日 修订版 3。针对 CVE-2010-2632 添加了说明
2011 年 1 月 24 日 修订版 2。将漏洞号更改为 CVE-2009-3555
2011 年 1 月 18 日 修订版 1 初始版本

 



附录 — Oracle 数据库服务器

 

Oracle 数据库服务器执行概要


该重要补丁更新包含 7 个针对下列 Oracle 数据库服务器的新安全修复程序:

  • 5 个针对 Oracle 数据库服务器的新安全修复程序。其中 1 个漏洞无需身份验证即可被远程利用,即无需输入用户名和口令即可通过网络利用这些漏洞。所有这些修复程序都不适用于仅客户端的安装(即,没有安装 Oracle 数据库服务器的安装)。
  • 1 个针对 Oracle Secure Backup 的新安全修复程序。此漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。  
  • 一个针对 Oracle Audit Vault 的新安全修复程序。此漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。  

 

 

Oracle 数据库服务器风险表


漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2010-3600 (Oracle Enterprise Manager Grid Control) Client System Analyzer HTTP - 7.5 网络 部分+ 部分+ 部分+ 11.1.0.7, 11.2.0.1  
CVE-2010-4423 Cluster Verify Utility 本地 6.9 本地 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1 参见注释 1
CVE-2010-4421 Database Vault HTTP 6.8 网络 部分 部分 部分 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1  
CVE-2010-3590 Oracle Spatial Oracle Net 对 MDSYS 过程的执行权限 4.9 网络 一次性 部分+ 部分+ 10.2.0.4, 11.1.0.7, 11.2.0.1  
CVE-2010-4413 Scheduler Agent HTTP 有效用户 4.3 网络 多次 部分 部分 部分 11.1.0.7, 11.2.0.1  
CVE-2010-4420 Database Vault 本地用户 3.6 本地 部分 部分 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1  
 

 

注:

  1. 该漏洞仅影响 Microsoft Windows 平台。


Oracle Secure Backup 执行概要


该重要补丁更新包含 1 个针对 Oracle Secure Backup 的新安全修复程序。此漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。  

 

Oracle Secure Backup 风险表


漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2009-3555 mod_ssl HTTPS 6.4 网络 部分 部分 10.3.0.2  
 

 



Oracle Audit Vault 执行概要


该重要补丁更新包含 1 个适用于 Oracle Audit Vault 的新安全修复程序。此漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。  

 

Oracle Audit Vault 风险表


漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2010-4449 Audit Vault HTTP 10.0 网络 10.2.3.2 参见注释 1
 

 

注:

  1. CVSS 基本评分仅对 Windows 为 10.0 分。对于 Linux、Unix 和其他平台 CVSS 基本评分为 7.5,而且对机密性、完整性以及可用性的影响评为“部分+”。


附录 — Oracle 融合中间件

 

Oracle 融合中间件执行概要


该重要补丁更新包含 16 个针对 Oracle 融合中间件的新安全修复程序。其中 12 个漏洞无需身份验证即可被远程利用,即无需输入用户名和口令即可通过网络利用这些漏洞。  

Oracle 融合中间件产品包括受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库组件。Oracle 融合中间件产品暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库安全修复程序未列在 Oracle 融合中间件风险表中。然而,由于影响 Oracle 数据库版本的漏洞可能影响 Oracle 融合中间件产品,Oracle 建议客户将 2011 年 1 月的重要补丁更新应用于 Oracle 融合中间件产品的 Oracle 数据库组件。有关您的环境需要应用哪些补丁的信息,请参阅 2011 年 1 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 1263374.1

 

Oracle 融合中间件风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2010-3574 Oracle JRockit 多种 - 10.0 网络 R27.6.7 及早期版本:JRE/JDK 1.4.2、5 和 6;R28.0.1 及早期版本:JRE/JDK 5 和 6; 参见注释 1
CVE-2010-3510 Oracle WebLogic Server TCP/IP Node Manager 10.0 网络 9.0, 9.1, 9.2.3, 10.0.2, 10.3.2, 10.3.3  
CVE-2010-3599 Oracle Document Capture HTTP 导入服务器 9.4 网络 10.1.3.4, 10.1.3.5  
CVE-2010-3591 Oracle Document Capture HTTP 内部操作 9.3 网络 10.1.3.4, 10.1.3.5  
CVE-2010-3592 Oracle Document Capture HTTP 内部操作 8.5 网络 部分 10.1.3.4, 10.1.3.5  
CVE-2010-3595 Oracle Document Capture HTTP 导入服务器 7.8 网络 10.1.3.4, 10.1.3.5  
CVE-2010-4417 针对 Beehive 的服务 HTTP 7.5 网络 部分+ 部分+ 部分+ 2.0.1.0, 2.0.1.1, 2.0.1.2, 2.0.1.2.1, 2.0.1.3  
CVE-2010-3598 Oracle Document Capture HTTP Import Export 实用程序 7.1 网络 10.1.3.4, 10.1.3.5  
CVE-2010-4455 Oracle HTTP Server HTTP Apache 插件 6.4 网络 部分 部分 11.1.1.2, 11.1.1.3  
CVE-2010-4437 Oracle WebLogic Server HTTP Servlet 容器 5.8 网络 部分 部分 9.0, 9.1, 9.2.4, 10.0.2, 10.3.2, 10.3.3  
CVE-2010-3588 Oracle Discoverer HTTP EUL 代码和模式 5.5 网络 一次性 部分 部分 10.1.2.3, 11.1.1.2.0, 11.1.1.3.0  
CVE-2010-4416 Oracle GoldenGate Veridata HTTP Server 5.0 网络 部分+ 3.0.0.4  
CVE-2010-4453 Oracle WebLogic Server HTTP Servlet 容器 4.3 网络 部分 7.0.7, 8.1.6, 9.0, 9.1, 9.2.4, 10.0.2, 10.3.2, 10.3.3  
CVE-2010-4425 Oracle BI Publisher HTTP Web 服务器 3.5 网络 一次性 部分 10.1.3.3.2, 10.1.3.4.0, 10.1.3.4.1  
CVE-2010-4427 Oracle BI Publisher HTTP Web 服务器 3.5 网络 一次性 部分 10.1.3.4.0, 10.1.3.4.1, 11.1.1.3  
CVE-2010-3597 Oracle Outside In Technology Outside In Viewer SDK 1.9 本地 部分 8.3.0  
 

 

注:

  1. Oracle 发布了 2010 年 10 月 Java 重要补丁更新来解决影响 Java 运行时环境的多个漏洞。Oracle CVE-2010-3574 指的是 Java 重要补丁更新中所有适用于 JRockit 的公告漏洞。在 JRockit 已修复的漏洞中,这个漏洞号的 CVSS 评分最高。JRockit 中在 CVE-2010-3574 下解决的所有公告的完整列表如下:CVE-2010-1321、CVE-2010-3541、CVE-2010-3548、CVE-2010-3549、CVE-2010-3551 CVE-2010-3553、CVE-2010-3554、CVE-2010-3555、CVE-2010-3556、CVE-2010-3557、CVE-2010-3559、CVE-2010-3561、CVE-2010-3562、CVE-2010-3565、CVE-2010-3566、CVE-2010-3567、CVE-2010-3568、CVE-2010-3569、CVE-2010-3571、CVE-2010-3572、CVE-2010-3573 和 CVE-2010-3574。


附录 — Oracle Enterprise Manager Grid Control

 

Oracle Enterprise Manager Grid Control 执行概要


该重要补丁更新包含 2 个针对 Oracle Enterprise Manager Grid Control 的新安全修复程序。这两个漏洞无需身份验证即可被远程利用,即无需输入用户名和口令即可通过网络利用这些漏洞。所有这些修复程序都不适用于仅客户端的安装(即,没有安装 Oracle Enterprise Manager Grid Control 的安装)。

Oracle Enterprise Manager 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库Oracle 融合中间件部分中所列漏洞的影响。Oracle Enterprise Manager 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle Enterprise Manager 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle Enterprise Manager 产品,Oracle 建议客户将 2011 年 1 月的重要补丁更新应用于 Oracle Enterprise Manager 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 2011 年 1 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 1263374.1

 

Oracle Enterprise Manager Grid Control 风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2010-3600 Client System Analyzer HTTP - 7.5 网络 部分+ 部分+ 部分+ 10.2.0.5  
CVE-2010-3594 Real User Experience Insight HTTP 处理 6.4 网络 部分+ 部分+ 6.0  
 

 



附录 — Oracle 管理软件

 

Oracle 管理软件执行概要


该重要补丁更新包含 16 个针对下列 Oracle 管理软件的新安全修复程序:

  • 2 个针对 Oracle 管理软件的新安全修复程序。这两个漏洞无需身份验证即可被远程利用,即无需输入用户名和口令即可通过网络利用这些漏洞。  
  • 针对 Oracle Supply Chain 产品套件的 3 个新安全修复程序。其中不存在无需身份验证即可远程利用的漏洞(即,无人可以在无需用户名和口令的情况下通过网络利用这些漏洞)。  
  • 针对 Oracle PeopleSoft 和 JDEdwards Suite 的 11 个新安全修复程序。其中 3 个漏洞无需身份验证即可被远程利用,即无需输入用户名和口令即可通过网络利用这些漏洞。  

 

Oracle E-Business Suite 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库Oracle 融合中间件部分中所列漏洞的影响。Oracle E-Business Suite 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle E-Business Suite 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle E-Business Suite 产品,Oracle 建议客户将 2011 年 1 月的重要补丁更新应用于 Oracle E-Business Suite 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 2011 年 1 月的 Oracle E-Business Suite 重要补丁更新 My Oracle Support 说明 1271167.1

Oracle 管理软件风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2010-3587 Oracle Common Applications HTTP 用户管理 4.3 网络 部分 11.5.10.2, 12.0.4, 12.0.5, 12.0.6, 12.1.1, 12.1.2, 12.1.3  
CVE-2010-3589 Oracle Application Object Library HTTP 注销 4.0 网络 部分 部分 11.5.10.2, 12.0.4, 12.0.5, 12.0.6, 12.1.1, 12.1.2, 12.1.3  
 

 



Oracle Supply Chain 产品套件执行概要


该重要补丁更新包含 3 个针对 Oracle Supply Chain 产品套件的新安全修复程序。其中不存在无需身份验证即可远程利用的漏洞(即,无人可以在无需用户名和口令的情况下通过网络利用这些漏洞)。  

 

Oracle Supply Chain 产品套件风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2010-3505 Agile Core HTTP 文件夹、文件和附件 3.5 网络 一次性 部分 9.3.0.2, 9.3.1  
CVE-2010-4429 Agile Core HTTP Web 客户端 3.5 网络 一次性 部分 9.3.0.2, 9.3.1  
CVE-2010-4432 Oracle Transportation Manager HTTP UI 基础架构 3.5 网络 一次性 部分 5.5.06, 6.0, 6.1, 6.2  
 

 



Oracle PeopleSoft 和 JDEdwards 套件执行概要


该重要补丁更新包含 11 个针对 PeopleSoft 和 JDEdwards Suite 的新安全修复程序。其中 3 个漏洞无需身份验证即可被远程利用,即无需输入用户名和口令即可通过网络利用这些漏洞。  

 

Oracle PeopleSoft 和 JDEdwards Suite 风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2010-4418 PeopleSoft Enterprise PeopleTools HTTP PIA 核心技术 7.5 网络 部分+ 部分+ 部分+ 8.50.11 至 8.50.15 以及 8.51GA 至 8.51.05  
CVE-2010-4419 PeopleSoft Enterprise CRM HTTP Order Capture 5.5 网络 一次性 部分 部分 9.0 Bundle #31、9.1 Bundle #6  
CVE-2010-4441 PeopleSoft Enterprise HRMS HTTP Talent Acquisition Manager 5.5 网络 一次性 部分 部分 9.1 Bundle #4  
CVE-2010-4461 PeopleSoft Enterprise HRMS HTTP ePerformance 5.5 网络 一次性 部分 部分 8.9 Bundle #23、9.0 Bundle #14、9.1 Bundle #4  
CVE-2010-4424 PeopleSoft Enterprise PeopleTools HTTP 安全性 5.0 网络 部分+ 8.49.0 至 8.49.29、8.50.0 至 8.50.14、8.51.0 至 8.51.04  
CVE-2010-4426 PeopleSoft Enterprise PeopleTools HTTP PIA 核心技术 5.0 网络 部分 8.49.0 至 8.49.29、8.50.0 至 8.50.14、8.51.0 至 8.51.04  
CVE-2010-4428 PeopleSoft Enterprise HRMS HTTP Absence Management 4.0 网络 一次性 部分 9.0 Update 2010-F  
CVE-2010-4430 PeopleSoft Enterprise HRMS HTTP Absence Management 4.0 网络 一次性 部分 9.1 Update 2010-F  
CVE-2010-4439 PeopleSoft Enterprise HRMS HTTP eProfile — Manager Desktop 4.0 网络 一次性 部分 9.0 Bundle #14、9.1 Bundle #4  
CVE-2010-4445 PeopleSoft Enterprise HRMS HTTTP Talent Acquisition Manager 4.0 网络 一次性 部分 9.0 Bundle #14、9.1 Bundle #4  
CVE-2010-4434 PeopleSoft Enterprise PeopleTools HTTP Portal 4.0 网络 一次性 部分 8.50.0 至 8.50.14、8.51.0 至 8.51.04  
 

 



附录 — Oracle 行业管理软件

 

Oracle 行业管理软件执行概要


该重要补丁更新包含 2 个针对 Oracle 行业应用产品的新安全修复程序。其中 1 个漏洞无需身份验证即可被远程利用,即无需输入用户名和口令即可通过网络利用这些漏洞。  

 

Oracle 行业管理软件风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2010-3593 卫生科学 — Oracle Argus Safety LDAP 登录 7.5 网络 部分+ 部分+ 部分+ 5.0, 5.0.1, 5.0.2, 5.0.3  
CVE-2009-4269 卫生科学 — InForm HTTP 门户 4.0 网络 一次性 部分 4.5, 4.6, 5.0  
 

 



附录 — Oracle Sun 产品套件

 

Oracle Sun 产品套件执行概要


该重要补丁更新包含 23 个针对下列 Oracle Sun 产品套件的新安全修复程序:

  • 针对 Oracle Sun 产品套件的 21 个新安全修复程序。其中 9 个漏洞无需身份验证即可被远程利用,即无需输入用户名和口令即可通过网络利用这些漏洞。  
  • 针对 Oracle Open Office 套件的 2 个新安全修复程序。这两个漏洞无需身份验证即可被远程利用,即无需输入用户名和口令即可通过网络利用这些漏洞。  

 

在此可获取风险表的英语文本版本。

2010 年 4 月以前针对 Sun 产品的 Sun 安全警报通知位于此处

Oracle 正在努力使 Sun Microsystems 的政策与 Oracle 软件安全性保障政策和过程相融合。详细信息,请参阅 Sun 产品成员安全政策变化

 

Oracle Sun 产品套件风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2010-4435 Solaris RPC CDE Calendar Manager 服务后台程序 10.0 网络 8, 9, 10  
CVE-2010-2632 Solaris FTP FTP Server 7.8 网络 8、9、10、11 Express 参见注释 1
CVE-2010-4457 Solaris SMB CIFS 7.8 网络 11 Express  
CVE-2010-4414 Oracle VM VirtualBox 扩展 6.8 本地 一次性 4.0  
CVE-2010-4444 Sun Java System Access Manager、Oracle OpenSSO HTTP 多种 6.8 网络 部分 部分 部分 7, 7.1, 8  
CVE-2010-4464 Sun Convergence HTTP Webmail 6.4 网络 部分 部分 1.0  
CVE-2010-4438 Sun GlassFish Enterprise Server、Sun Java System Message Queue HTTP Java 消息服务 (JMS) 5.7 本地 一次性 部分 部分 GlassFish 2.1, 2.1.1, 3.0.1;Message Queue 4.1  
CVE-2010-4433 Solaris Ethernet 驱动程序 5.0 网络 部分 10  
CVE-2010-4436 SunMC HTTP Web 控制台 5.0 网络 部分 4.0  
CVE-2010-4443 Solaris 内核/NFS 4.7 本地 10、11 Express  
CVE-2010-4459 Solaris SCTP 内核/sockfs 4.6 本地 一次性 11 Express  
CVE-2010-4446 Solaris RDS 内核/InfiniBand 4.6 本地 一次性 11 Express  
CVE-2010-4440 Solaris 内核 4.4 本地 一次性 10、11 Express  
CVE-2010-4442 Solaris 内核 4.4 本地 一次性 10、11 Express  
CVE-2010-1227 Sun Java System Communications Express HTTP Web Mail 4.3 网络 部分 6.2, 6.3  
CVE-2010-4456 Sun Java System Communications Express HTTP Web Mail 4.3 网络 部分 6.2, 6.3  
CVE-2010-4415 Solaris libc 4.1 本地 一次性 部分 部分 部分 8, 9, 10  
CVE-2010-4458 Solaris ZFS 4.1 本地 多次 11 Express  
CVE-2010-4460 Solaris Fault Manager 后台程序 3.6 本地 部分 部分 10  
CVE-2010-3586 Solaris XScreenSaver 3.6 本地 部分 部分 9  
CVE-2010-4431 Sun Java System Portal Server HTTP Proxy 1.0 本地 一次性 部分 7.1, 7.2  
 

 

注:

  1. 只有为匿名 FTP 配置的 FTP 服务器才具有此漏洞。


Oracle Open Office 套件执行概要


该重要补丁更新包含 2 个针对 Oracle Open Office 套件的新安全修复程序。这两个漏洞无需身份验证即可被远程利用,即无需输入用户名和口令即可通过网络利用这些漏洞。  

 

Oracle Open Office 套件风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2010-2935 Oracle Open Office、StarOffice、StarSuite TCP/IP Microsoft PowerPoint 附件 9.3 网络 Open Office 3.2.1;StarOffice StarSuite 7、8 参见注释 1
CVE-2010-2936 Oracle Open Office、StarOffice、StarSuite TCP/IP Microsoft PowerPoint 附件 9.3 网络 Open Office 3.2.1;StarOffice StarSuite 7、8 参见注释 1
 

 

注:

  1. 以 root/管理员身份打开恶意附件时,CVSS 基本评分为 9.3 分。其对机密性、完整性和可用性的影响为“全”。而以有限权限打开时,CVSS 基本评分为 6.8 分。其对机密性、完整性和可用性的影响为“部分+”。