Oracle 重要补丁更新公告 — 2012 年 1 月


说明

重要补丁更新是针对多个安全漏洞的补丁集合。重要补丁更新补丁通常是累积式的,但是每个公告只描述自上一个重要补丁更新公告以来添加的安全修复程序。因此,要了解有关以前发布的安全修复程序的信息,应该查看以前的重要补丁更新公告。请参见:

重要补丁更新和安全警报,获得有关 Oracle 安全公告的信息。

考虑到攻击得逞所带来的威胁,Oracle 强烈建议用户尽快应用 CPU 修复程序。 该重要补丁更新包含针对下列所有产品系列的 78 个新的安全修复程序。

受影响的产品和组件

该重要补丁更新解决的安全漏洞将影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在与指定的“产品和版本”列对应的“可用补丁”列中。请单击下面的“可用补丁”列中或可用补丁表中的链接,查看这些补丁的文档。

下面是 Oracle 终身支持政策下标准支持或扩展支持所涵盖的受影响的产品版本列表:

受影响的产品和版本可用补丁
Oracle Database 11g 第 2 版,版本 11.2.0.2、11.2.0.3数据库
Oracle Database 11g 第 1 版,版本 11.1.0.7数据库
Oracle Database 10g 第 2 版,版本 10.2.0.3、10.2.0.4、10.2.0.5数据库
Oracle Database 10g 第 1 版,版本 10.1.0.5数据库
Oracle Fusion Middleware 11g 第 1 版,版本 11.1.1.3.0、11.1.1.4.0、11.1.1.5.0融合中间件
Oracle Application Server 10g 第 3 版,版本 10.1.3.5.0融合中间件
Oracle Outside In Technology,版本 8.3.5、8.3.7融合中间件
Oracle WebLogic Server,版本 9.2.4、10.0.2、11gR1(10.3.3、10.3.4、10.3.5)融合中间件
Oracle E-Business Suite 第 12 版,版本 12.1.2、12.1.3E-Business Suite
Oracle E-Business Suite 第 11i 版,版本 11.5.10.2E-Business Suite
Oracle Transportation Management,版本 5.5、6.0、6.1、6.2Oracle Supply Chain
Oracle PeopleSoft Enterprise CRM,版本 8.9PeopleSoft
Oracle PeopleSoft Enterprise HCM,版本 8.9、9.0、9.1PeopleSoft
Oracle PeopleSoft Enterprise PeopleTools,版本 8.52PeopleSoft
Oracle JDEdwards,版本 8.98,One World Tools SP 24JDEdwards
Oracle Sun 产品套件Oracle Sun 产品套件
Oracle VM VirtualBox,版本 4.1Oracle 虚拟化产品套件
Oracle Virtual Desktop Infrastructure,版本 3.2Oracle 虚拟化产品套件
Oracle MySQL Server,版本 5.0、5.1、5.5Oracle MySQL 产品套件


可用补丁表与风险表

使用累积式补丁的产品

重要补丁更新中的 Oracle 数据库、Oracle 融合中间件、Oracle Enterprise Manager Base Platform(以前称作“Oracle Enterprise Manager Grid Control”)、Oracle E-Business Suite 管理软件、JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft Enterprise Portal 管理软件、PeopleSoft Enterprise PeopleTools、Siebel Enterprise、Oracle 行业管理软件和 Oracle VM 补丁均是累积式的;重要补丁更新中包括的任何这些产品的补丁都包含之前的重要补丁更新中针对相应产品的所有修复程序。有关累积式和非累积式补丁的详细信息,请查阅下表中各产品组的可用补丁文档。

可用补丁表

对于所管理的每个 Oracle 产品,请查阅下表中提到的有关可用补丁信息和安装说明的文档。有关该重要补丁更新的相关 Oracle 产品文档的概述,请参阅 2012 年 1 月 Oracle 重要补丁更新文档概述 My Oracle Support 说明 1368685.1


产品分组风险表可用补丁和安装信息
Oracle 数据库Oracle 数据库风险表2012 年 1 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1374524.1
Oracle 融合中间件Oracle 融合中间件风险表2012 年 1 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1374524.1
Oracle 管理软件 — E-Business SuiteOracle 管理软件,E-Business Suite 风险表2012 年 1 月 Oracle E-Business Suite 重要补丁更新说明,My Oracle Support 说明 1384016.1
Oracle 管理软件 — Oracle PeopleSoft Enterprise、JDEdwards 和 Oracle Supply Chain 产品套件Oracle PeopleSoft Enterprise 风险表
Oracle JDEdwards 风险表
Oracle Supply Chain 产品风险表		针对 PeopleSoft Enterprise、JDEdwards 和 Oracle Supply Chain Suite 产品的重要补丁更新知识文档,My Oracle Support 说明 1388673.1
Oracle Sun 产品套件Oracle Sun 产品套件风险表2012 年 1 月重要补丁更新中针对 Oracle Sun 产品套件的补丁发布文档,My Oracle Support 说明 1390289.1
Oracle 虚拟化Oracle 虚拟化风险表2012 年 1 月重要补丁更新中针对 Oracle Sun 产品套件的补丁发布文档,My Oracle Support 说明 1390289.1
Oracle MySQL ServerOracle MySQL 风险表2012 年 1 月重要补丁更新中针对 Oracle Sun 产品套件的补丁发布文档,My Oracle Support 说明 1390289.1

风险表内容

风险表只列出公告涉及到的补丁新近修复的安全漏洞。之前的安全修复程序的风险表包含在之前的重要补丁更新公告中。在此可获取本文档中提供的风险表的英语文本版本。

该重要补丁更新提出的几个漏洞影响着多个产品。每个漏洞都通过一个漏洞号来标识,该编号是相应漏洞的唯一标识符。一个影响多个产品的漏洞将在所有风险表中显示相同的漏洞号斜体 表明其他产品领域中包含的代码中的漏洞。

安全漏洞使用 CVSS 2.0 版进行评估(请参阅用于解释 Oracle 如何应用 CVSS 2.0 的 Oracle CVSS 评估系统)。Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及利用得逞的潜在影响的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析自己的风险。出于政策方面的原因,Oracle 不会透露有关可能会导致漏洞利用得逞的利用条件或结果的详细信息。Oracle 不提供除 CPU 或安全警报通知、可用补丁表、自述文件和常见问题解答所提供信息以外的其他具体漏洞信息。Oracle 不向个别客户提供有关 CPU 或安全警报的预先通知。最后,Oracle 不会针对产品漏洞发布可利用的入侵代码或验证性代码。有关详细信息,请参阅 Oracle 漏洞公开政策

风险表中的协议暗示其所有安全变体(如果适用)也将受到影响。例如,如果列出 HTTP 为受影响协议,则暗示 HTTPS(如果适用)也将受到影响。

解决方法

考虑到攻击得逞所带来的威胁,Oracle 强烈建议客户尽快应用 CPU 修复程序。如果不应用 CPU 修复程序,则无法通过阻止攻击所需的网络协议来降低攻击得逞的风险。对于需要特定权限或者需要访问特定程序包的攻击,对不需要这些权限的用户删除这些权限或者使其无法访问这些程序包可能有助于降低攻击得逞的风险。这两种方法都有可能损害应用程序功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。

漏掉的重要补丁更新

Oracle 强烈建议客户尽快应用安全修复程序。如果客户漏掉了一个或多个重要补丁更新,担心该 CPU 中未公布其修复程序的产品出现安全问题,请查看以前的重要补丁更新公告以确定要采取的行动。

产品相关性

某些 Oracle 产品可能依赖于其他 Oracle 产品。因此,该重要补丁更新中发布的安全漏洞修复程序可能影响一个或多个相关的 Oracle 产品。有关这些相关产品以及对相关产品应用补丁的详细信息,请参阅 2012 年 1 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1374524.1

重要补丁更新支持的产品和版本

只有终身支持政策的标准支持或扩展支持阶段中涵盖的产品版本才提供重要补丁更新补丁。建议客户规划产品升级,以确保当前运行的版本可以应用重要补丁更新补丁。

没有对未涵盖在标准支持或扩展支持之下的产品版本测试过是否存在该重要补丁更新提出的安全漏洞。但是,很可能受影响的版本的那些早期版本也会受这些安全漏洞的影响。

受支持的数据库、融合中间件、Oracle Enterprise Manager 基础平台(以前的“Oracle Enterprise Manager Grid Control”)和 Collaboration Suite 产品根据软件错误更正支持政策(参见 My Oracle Support 说明 209768.1)进行修补。有关支持政策和支持阶段的详细指南,请查看技术支持政策

处于扩展支持阶段的产品

已购买终身支持政策下的扩展支持的客户可以使用重要补丁更新补丁。客户必须具有有效的扩展支持服务合同,才能在扩展支持阶段下载重要补丁更新补丁。

应请求 模式

Oracle 仅为客户要针对下一个重要补丁更新(基于历史数据)下载的平台/版本组合预先创建补丁。只要客户要求,我们将为以前固定的 Oracle 数据库、Oracle 应用服务器和 Enterprise Manager 的平台/版本组合创建补丁。

有关“应请求”补丁的更多详情,请参阅 2012 年 1 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1374524.1

致谢声明

该重要补丁更新修复的安全漏洞由以下人员或组织向 Oracle 报告:TippingPoint 的零时差项目的匿名报告者;SensePost Information Security 的 Behrang Fouladi;Clement Lecigne;McAfee Labs 的 Dennis Yurichev;Gorkem Yakin;InfoWorld;Onapsis 的 Juan Pablo Perez Etchegoyen;Mateusz“j00ru”Jurczyk;McAfee Labs 的 Michael Myngerbayev;True Digital Security 的 Michael Oglesby;通过 JPCERT/CC Vulnerability Handling Team 报告的 Minetoshi Takizawa;Ness Technologies 的 Robert Maly;Stratsec Research 的 Rohan Stelling;Veracode 的 Travis Emmert;CERT/CC 的 Will Dormann。

重要补丁更新日程表

重要补丁更新在距 1 月、4 月、7 月和 10 月的第 17 日最近的星期二发布。接下来的四个日期为:

  • 2012 年 4 月 17 日
  • 2012 年 7 月 17 日
  • 2012 年 10 月 16 日
  • 2013 年 1 月 15 日

参考资料


修改记录


2012 年 1 月 23 日修订版 3。更新了 JD Edwards One World Tools SP24 信息
2012 年 1 月 18 日修订版 2。更新了信用信息
2012 年 1 月 17 日修订版 1。初始版本

 

附录 — Oracle 数据库服务器

 

 

Oracle 数据库服务器执行概要

 

该重要补丁更新包含 2 个适用于 Oracle 数据库服务器的新安全修复程序。其中 1 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。所有这些修复程序都不适用于仅客户端的安装(即,没有安装 Oracle 数据库服务器的安装)。

 

Oracle 数据库服务器风险表


漏洞号组件协议所需的程序包和/或权限无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2012-0082Core RDBMSOracle Net创建会话5.5网络一次性部分部分+10.1.0.5, 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.2, 11.2.0.3参见注释 1
CVE-2012-0072ListenerOracle Net5.0网络部分+10.1.0.5, 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.2 
 

 

注释:

  1. 此漏洞的修复程序有一个重要的非安全性组件。建议客户参阅 MOS 文档 1376995.1 来确定对此漏洞应用修复程序的急迫性和最佳行动计划。

 

附录 — Oracle 融合中间件

 

 

Oracle 融合中间件执行概要

 

该重要补丁更新包含 11 个适用于 Oracle 融合中间件的新安全修复程序,其中 5 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。

Oracle 融合中间件产品包括受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库组件。Oracle 融合中间件产品暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库安全修复程序未列在 Oracle 融合中间件风险表中。然而,由于影响 Oracle 数据库版本的漏洞可能影响 Oracle 融合中间件产品,Oracle 建议客户将 2012 年 1 月的重要补丁更新应用于 Oracle 融合中间件产品的 Oracle 数据库组件。有关您的环境需要应用哪些补丁的信息,请参阅 2012 年 1 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 1374524.1

 

Oracle 融合中间件风险表


漏洞号组件协议子组件无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2012-0083Oracle WebCenter ContentHTTPSearch6.4网络部分+部分+7.5.2, 10.1.3.5.1, 11.1.1.3, 11.1.1.4, 11.1.1.5 
CVE-2011-3568Oracle Web Services ManagerHTTPWeb 服务安全性5.5网络一次性部分部分11.1.1.3, 11.1.1.4, 11.1.1.5 
CVE-2011-3531Oracle Web Services ManagerHTTPWeb 服务安全性5.0网络部分+11.1.1.3, 11.1.1.4, 11.1.1.5 
CVE-2011-3569Oracle Web Services ManagerHTTPWeb 服务安全性5.0网络部分11.1.1.3, 11.1.1.4, 11.1.1.5 
CVE-2011-3566Oracle WebLogic ServerHTTPWeb 容器5.0网络部分+9.2.4, 10.0.2, 10.3.3, 10.3.4, 10.3.5 
CVE-2011-4516Oracle Outside In TechnologyJPEG 2000 Filter4.4本地部分部分部分8.3.5, 8.3.7参见注释 1
CVE-2011-4517Oracle Outside In TechnologyJPEG 2000 Filter4.4本地部分部分部分8.3.5, 8.3.7参见注释 1
CVE-2012-0110Oracle Outside In TechnologyOutside In Image Export SDK4.4本地部分部分部分8.3.5, 8.3.7参见注释 1
CVE-2012-0085Oracle WebCenter ContentHTTPContent Server4.3网络部分7.5.2, 10.1.3.5.1 
CVE-2012-0084Oracle WebCenter ContentHTTPContent Server3.5网络一次性部分7.5.2, 10.1.3.5.1, 11.1.1.3, 11.1.1.4, 11.1.1.5 
CVE-2012-0077Oracle WebLogic ServerHTTPWLS-Console3.5网络一次性部分9.2.4, 10.0.2, 10.3.3, 10.3.4, 10.3.5 
 

 

注释:

  1. Outside In Technology 是一个软件开发工具包 (SDK) 套件。它没有任何特定的相关协议。如果托管软件通过网络将收到的数据传递给 Outside In Technology 代码,则 CVSS 评分将升高到 6.8。

 

附录 — Oracle 管理软件

 

 

Oracle E-Business Suite 执行概要

 

此重要补丁更新包含 3 个针对 Oracle E-Business Suite 的新安全修复程序,其中 1 个漏洞无需身份验证即可远程利用,即,可以通过网络利用该漏洞而无需用户名和口令。

Oracle E-Business Suite 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库Oracle 融合中间件部分中所列漏洞的影响。Oracle E-Business Suite 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle E-Business Suite 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle E-Business Suite 产品,Oracle 建议客户将 2012 年 1 月的重要补丁更新应用于 Oracle E-Business Suite 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 2012 年 1 月的 Oracle E-Business Suite 重要补丁更新 My Oracle Support 说明 1384016.1

 

Oracle E-Business Suite 风险表


漏洞号组件协议子组件无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2012-0073Oracle FormsHTTPOracle Forms4.3网络部分11.5.10.2 
CVE-2012-0078Oracle Application Object LibraryHTTPREST 服务(菜单、LOV)4.0网络一次性部分12.1.2, 12.1.3 
CVE-2011-2271Oracle Application Object LibraryHTTP附件 / 文件上载3.5网络一次性部分11.5.10.2 
 

 



 

Oracle Supply Chain 产品套件执行概要

 

此重要补丁更新包含 1 个针对 Oracle Supply Chain 产品套件的新安全修复程序,该漏洞无需身份验证即可远程利用,即,可以通过网络利用该漏洞而无需用户名和口令。

 

Oracle Supply Chain 产品套件风险表


漏洞号组件协议子组件无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2011-3192Oracle Transportation ManagementHTTP安全性5.0网络部分+5.5.06, 6.0, 6.1, 6.2参见注释 1
 

 

注释:

  1. 此修复程序解决了安全性问题 CVE-2011-3192,即 Apache HTTPD 中的一个拒绝服务漏洞,攻击者可通过使用 Apache 2.0 或 2.2 的 Oracle Transportation Management (OTM) 产品利用该漏洞。美国国家漏洞数据库已报告此漏洞的 CVSS 基本评分为 7.8,这表示该漏洞可引发操作系统完全拒绝服务 (DOS);然而,Oracle 支持的任何平台上均不可能发生操作系统完全拒绝服务的情况,因此,Oracle 将该漏洞的 CVSS 基本评分定为了 5.0,表示该漏洞可引发 Oracle Transportation Management 完全拒绝服务但不会引发操作系统完全拒绝服务。其他适用于 CVE-2011-3192 的修复程序先前已在 2011 年 9 月的安全警报中发布。


 

Oracle PeopleSoft 产品执行概要

 

该重要补丁更新包含 6 个适用于 Oracle PeopleSoft 产品的新安全修复程序,所有这些漏洞均需身份验证才可远程利用,即,没有用户名和口令就不能通过网络使用这些漏洞。

 

Oracle PeopleSoft 产品风险表


漏洞号组件协议子组件无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2012-0080PeopleSoft Enterprise HCMHTTPTalent Acquisition Management5.5网络一次性部分部分9.1 
CVE-2012-0074PeopleSoft Enterprise CRMHTTPSales4.0网络一次性部分8.9 
CVE-2012-0088PeopleSoft Enterprise HCMHTTPBenefits Administration4.0网络一次性部分8.9, 9.0, 9.1 
CVE-2012-0076PeopleSoft Enterprise HCMHTTPePerformance4.0网络一次性部分9.0, 9.1 
CVE-2012-0089PeopleSoft Enterprise HCMHTTPePerformance4.0网络一次性部分9.1 
CVE-2012-0091PeopleSoft Enterprise PeopleToolsHTTPUpgrade Change Assistance2.7邻近网络多次部分+部分+8.52.05 
 

 



 

Oracle JD Edwards 产品执行概要

 

该重要补丁更新包含 8 个适用于 Oracle JD Edwards 产品的新安全修复程序,其中 1 个漏洞无需身份验证即可远程利用,即可以通过网络使用该漏洞而无需用户名和口令。

 

Oracle JD Edwards 产品风险表


漏洞号组件协议子组件无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2011-2324JD Edwards EnterpriseOne ToolsJDENETEnterprise Infrastructure SEC (JDENET)5.0网络部分8.98,SP 24 
CVE-2011-2321JD Edwards EnterpriseOne ToolsHTTPEnterprise Infrastructure SEC (JDNET)4.0网络一次性部分8.98,SP 24 
CVE-2011-2325JD Edwards EnterpriseOne ToolsJDENETEnterprise Infrastructure SEC (JDENET)4.0网络一次性部分8.98,SP 24 
CVE-2011-2326JD Edwards EnterpriseOne ToolsJDENETEnterprise Infrastructure SEC (JDENET)4.0网络一次性部分8.98,SP 24 
CVE-2011-3509JD Edwards EnterpriseOne ToolsJDENETEnterprise Infrastructure SEC (JDENET)4.0网络一次性部分8.98,SP 24 
CVE-2011-3514JD Edwards EnterpriseOne ToolsJDENETEnterprise Infrastructure SEC (JDENET)4.0网络一次性部分8.98,SP 24 
CVE-2011-3524JD Edwards EnterpriseOne ToolsJDENETEnterprise Infrastructure SEC (JDENET)4.0网络一次性部分8.98,SP 24 
CVE-2011-2317JD Edwards EnterpriseOne ToolsJDENETEnterprise Infrastucture SEC (JDNET)4.0网络一次性部分8.98,SP 24 
 

 


 

附录 — Oracle Sun 产品套件

 

 

Oracle Sun 产品套件执行概要

 

此重要补丁更新包含 17 个针对 Oracle Sun 产品套件的新安全修复程序,其中 6 个漏洞无需身份验证即可远程利用,即,可以通过网络利用该漏洞而无需用户名和口令。

在此可获取风险表的英语文本版本。

有关 Sun Microsystems 公布 Sun 产品线安全漏洞修复程序的政策,请参阅 Sun 产品线安全政策变化中的说明。

 

 

Oracle Sun 产品套件风险表


漏洞号组件协议子组件无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2012-0094SolarisTCP/IPTCP/IP7.8网络9、10、11 Express 
CVE-2012-0100SolarisKerberos6.8本地一次性9、10、11 Express 
CVE-2011-5035GlassFish Enterprise ServerHTTPWeb 容器5.0网络部分+Communications Server 2.0,GlassFish Enterprise Server 2.1.1、3.0.1、3.1.1,Sun Java System Application Server 8.1、8.2 
CVE-2012-0104GlassFish Enterprise ServerHTTPWeb 容器5.0网络部分GlassFish Enterprise Server 3.0.1、3.1.1 
CVE-2012-0096SolarisRPC网络5.0网络部分8、9、10、11 Express 
CVE-2012-0103Solaris内核4.9本地11 Express 
CVE-2011-3565Oracle Communications UnifiedCalendar Server4.6本地部分部分部分7.0 
CVE-2012-0079Oracle OpenSSOHTTPSAdministration4.3网络部分7.1, 8.0 
CVE-2011-3573Oracle Communications UnifiedHTTPCalendar Server4.0网络一次性部分7.0 
CVE-2012-0081GlassFish Enterprise ServerAdministration3.7本地部分+部分+部分+GlassFish Enterprise Server 3.1.1 
CVE-2012-0109SolarisTCP/IP3.6本地部分部分8、9、10、11 Express 
CVE-2011-3574Oracle Communications UnifiedCalendar Server3.3本地部分部分7.0 
CVE-2012-0099SolarisSSHsshd2.6网络部分9、10、11 Express 
CVE-2011-3564GlassFish Enterprise ServerAdministration2.1本地部分GlassFish Enterprise Server 2.1.1 
CVE-2011-3570Oracle Communications UnifiedCalendar Server2.1本地部分7.0 
CVE-2012-0097Solarisksh93 Shell2.1本地部分11 Express 
CVE-2012-0098Solaris内核1.9本地部分8、9、10、11 Express 
 

 


 

附录 — Oracle Linux 和 Oracle 虚拟化

 

 

Oracle 虚拟化执行概要

 

该重要补丁更新包含 3 个适用于 Oracle 虚拟化的新安全修复程序,所有这些漏洞均需身份验证才可远程利用,即,没有用户名和口令就不能通过网络使用这些漏洞。

 

Oracle 虚拟化风险表


漏洞号组件协议子组件无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2012-0105Oracle VM VirtualBoxWindows Guest Additions3.7本地部分部分部分4.1 
CVE-2012-0111Oracle VM VirtualBoxShared Folders3.6本地部分部分4.1 
CVE-2011-3571Virtual Desktop Infrastructure (VDI)会话3.6网络一次性部分部分3.2 
 

 


 

附录 — Oracle MySQL

 

 

Oracle MySQL 执行概要

 

该重要补丁更新包含 27 个适用于 Oracle MySQL 的新安全修复程序,其中 1 个漏洞无需身份验证即可远程利用,即可以通过网络使用该漏洞而无需用户名和口令。

 

Oracle MySQL 风险表


漏洞号组件协议子组件无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2012-0113MySQL ServerMySQL Protocol-5.5网络一次性部分部分+5.1.x、5.5.x 
CVE-2011-2262MySQL ServerMySQL Protocol-5.0网络部分+5.1.x、5.5.x 
CVE-2012-0116MySQL ServerMySQL Protocol-4.9网络一次性部分+部分5.1.x、5.5.x 
CVE-2012-0118MySQL ServerMySQL Protocol-4.9网络一次性部分部分+5.1.x、5.5.x 
CVE-2012-0496MySQL ServerMySQL Protocol-4.3网络多次部分部分5.5.x 
CVE-2012-0087MySQL ServerMySQL Protocol-4.0网络一次性部分+5.0.x、5.1.x 
CVE-2012-0101MySQL ServerMySQL Protocol-4.0网络一次性部分+5.0.x、5.1.x 
CVE-2012-0102MySQL ServerMySQL Protocol-4.0网络一次性部分+5.0.x、5.1.x 
CVE-2012-0115MySQL ServerMySQL Protocol-4.0网络一次性部分5.1.x、5.5.x 
CVE-2012-0119MySQL ServerMySQL Protocol-4.0网络一次性部分+5.1.x、5.5.x 
CVE-2012-0120MySQL ServerMySQL Protocol-4.0网络一次性部分+5.1.x、5.5.x 
CVE-2012-0484MySQL ServerMySQL Protocol-4.0网络一次性部分5.0.x、5.1.x、5.5.x 
CVE-2012-0485MySQL ServerMySQL Protocol-4.0网络一次性部分+5.1.x、5.5.x 
CVE-2012-0486MySQL ServerMySQL Protocol-4.0网络一次性部分+5.5.x 
CVE-2012-0487MySQL ServerMySQL Protocol-4.0网络一次性部分+5.5.x 
CVE-2012-0488MySQL ServerMySQL Protocol-4.0网络一次性部分+5.5.x 
CVE-2012-0489MySQL ServerMySQL Protocol-4.0网络一次性部分+5.5.x 
CVE-2012-0490MySQL ServerMySQL Protocol-4.0网络一次性部分+5.0.x、5.1.x、5.5.x 
CVE-2012-0491MySQL ServerMySQL Protocol-4.0网络一次性部分+5.5.x 
CVE-2012-0495MySQL ServerMySQL Protocol-4.0网络一次性部分+5.5.x 
CVE-2012-0112MySQL ServerMySQL Protocol-3.5网络一次性部分+5.1.x、5.5.x 
CVE-2012-0117MySQL ServerMySQL Protocol-3.5网络一次性部分+5.5.x 
CVE-2012-0114MySQL Server-3.0本地一次性部分+部分5.0.x、5.1.x、5.5.x 
CVE-2012-0492MySQL ServerMySQL Protocol-2.1网络一次性部分+5.1.x、5.5.x 
CVE-2012-0493MySQL ServerMySQL Protocol-2.1网络一次性部分+5.5.x 
CVE-2012-0075MySQL ServerMySQL Protocol-1.7网络多次部分5.0.x、5.1.x、5.5.x 
CVE-2012-0494MySQL Server-1.7本地一次性部分+5.5.x