Oracle 重要补丁更新公告 — 2016 年 1 月



说明

重要补丁更新 (CPU) 是针对多个安全漏洞的补丁集合。重要补丁更新补丁通常是累积式的,但是每个公告只描述自上一个重要补丁更新公告以来添加的安全修复程序。因此,要了解有关以前发布的安全修复程序的信息,应该查看以前的重要补丁更新公告。请参见:


重要补丁更新和安全警报,获得有关 Oracle 安全公告的信息。


Oracle 将继续定期接收企图恶意利用 Oracle 已经针对其发布了修复程序的安全漏洞的报告。据报告可知,有些情况下由于目标客户未能应用可用的 Oracle 补丁,攻击者取得了成功。因此,Oracle 强烈 建议客户继续使用受积极支持的版本,刻不容缓 地应用重要补丁更新修复程序。


该重要补丁更新包含针对下列产品系列的 248 个新的安全修复程序。请注意,https://blogs.oracle.com/security 上的一篇博文总结了这个重要补丁更新的内容以及其他 Oracle 软件安全性保障活动。


请注意,Oracle 已于 2015 年 11 月 10 日布了安全警报 CVE-2015-4852。我们强烈建议受影响的 Oracle 产品的客户应用针对 CVE-2015-4852 发布的修复程序和/或配置步骤。


本重要补丁更新公告还提供了符合常见漏洞报告格式 (CVRF) 1.1 版的 XML 格式。有关 Oracle 使用 CVRF 的更多信息,请参阅 http://www.oracle.com/technetwork/topics/security/cpufaq-098434.html#CVRF


受影响的产品和组件

该重要补丁更新解决的安全漏洞影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在与指定的“产品和版本”列对应的“可用补丁”列中。请点击下面的“可用补丁”列中或可用补丁表中的链接,查看这些补丁的文档。


下面是 Oracle 终身支持政策下标准支持或扩展支持所涵盖的受影响的产品版本列表:


受影响的产品和版本 可用补丁
Oracle 数据库服务器,版本 11.2.0.4、12.1.0.1、12.1.0.2 数据库
Oracle GoldenGate,版本 11.2、12.1.2 Oracle GoldenGate
Oracle BI Publisher,版本 11.1.1.7.0、11.1.1.9.0、12.2.1.0.0 融合中间件
Oracle Business Intelligence 企业版,版本 11.1.1.7.0、11.1.1.9.0 融合中间件
Oracle Endeca Server,版本 7.3.0.0、7.4.0.0、7.5.0.0、7.6.0.0 融合中间件
Oracle 融合中间件,版本 10.1.3.5、11.1.1.7、11.1.1.8、11.1.1.9、11.1.2.2、11.1.2.3、12.1.2.0、12.1.3.0、12.2.1 融合中间件
Oracle GlassFish Server,版本 3.1.2 融合中间件
Oracle Identity Federation,版本 11.1.1.7、11.1.2.2 融合中间件
Oracle Outside In Technology,版本 8.5.0、8.5.1、8.5.2 融合中间件
Oracle Tuxedo,版本 12.1.1.0 融合中间件
Oracle Web Cache,版本 11.1.1.7.0、11.1.1.9.0 融合中间件
Oracle WebCenter Sites,版本 7.6.2、11.1.1.8.0 融合中间件
Oracle WebLogic Portal,版本 10.3.6 融合中间件
Oracle WebLogic Server,版本 10.3.6、12.1.2、12.1.3、12.2.1 融合中间件
Enterprise Manager Base Platform,版本 11.1.0.1、11.2.0.4、12.1.0.4、12.1.0.5 Enterprise Manager
Enterprise Manager Ops Center,12.1.4、12.2.0、12.2.1、12.3.0 之前的版本 Enterprise Manager
Oracle Application Testing Suite,版本 12.4.0.2、12.5.0.2 Enterprise Manager
Application Mgmt Pack for E-Business Suite,版本 12.1、12.2 E-Business Suite
Oracle E-Business Suite,版本 11.5.10.2、12.1、12.1.1、12.1.2、12.1.3、12.2、12.2.3、12.2.4、12.2.5 E-Business Suite
Oracle Agile Engineering Data Management,版本 6.1.2.2、6.1.3.0、6.2.0.0 Oracle Supply Chain 产品
Oracle Agile PLM,版本 9.3.1.1、9.3.1.2、9.3.2、9.3.3 Oracle Supply Chain 产品
Oracle Configurator,版本 11.5.10.2、12.1、12.2 Oracle Supply Chain 产品
PeopleSoft Enterprise HCM Global Payroll Switzerland,版本 9.1、9.2 PeopleSoft
PeopleSoft Enterprise PeopleTools,版本 8.53、8.54、8.55 PeopleSoft
PeopleSoft Enterprise SCM eProcurement,版本 9.1、9.2 PeopleSoft
PeopleSoft Enterprise SCM Order Management,版本 9.1、9.2 PeopleSoft
PeopleSoft Enterprise SCM Purchasing,版本 9.1、9.2 PeopleSoft
JD Edwards EnterpriseOne Tools,版本 9.1、9.2 JD Edwards
Oracle iLearning,版本 6.0、6.1 iLearning
Oracle 融合应用,版本 11.1.2 至 11.1.10 融合应用
Oracle Communications Converged Application Server — Service Controller,版本 6.1 Communications Converged Application Server — Service Controller
Oracle Communications EAGLE LNP Application Processor,版本 10.0 Communications EAGLE LNP Application Processor
Oracle Communications Online Mediation Controller,版本 6.1 Communications Online Mediation Controller
Oracle Communications Service Broker,版本 6.0、6.1 Communications Service Broker
Oracle Communications Service Broker 集成系统版,版本 6.0 Communications Service Broker 集成系统版
MICROS CWDirect,版本 12.5、13.0、14.0、15.0、16.0、17.0、18.0 MICROS CWDirect
Oracle 零售业开放式商务平台云服务,版本 3.5、4.5、4.7、5.0 零售业开放式商务平台云服务
Oracle 零售业订单代理云服务,版本 4.0、4.1 零售业订单代理云服务
Oracle 零售业订单管理系统云服务,版本 3.5、4.5、4.7、5.0、15.0 零售业订单管理系统云服务
Oracle Retail Point-of-Service,版本 13.4、14.0、14.1 Retail Point-of-Service
Oracle Java SE,版本 6u105、7u91、8u66 Oracle Java SE
Oracle Java SE Embedded,版本 8u65 Oracle Java SE
Oracle JRockit,版本 R28.3.8 Oracle Java SE
Oracle 交换机 ES1-24,1.3.1.13 之前的版本 Oracle 和 Sun 系统产品套件
Solaris,版本 10、11 Oracle 和 Sun 系统产品套件
Solaris Cluster,版本 3.3、4、4.2 Oracle 和 Sun 系统产品套件
Sun Blade 6000 以太网交换 NEM 24P 10GE,1.2.2.13 之前的版本 Oracle 和 Sun 系统产品套件
Sun Network 10GE Switch 72p,1.2.2.15 之前的版本 Oracle 和 Sun 系统产品套件
Oracle Secure Global Desktop,版本 4.63、4.71、5.2 Oracle Linux 和虚拟化
Oracle VM VirtualBox,4.0.36 之前的版本、4.1.44 之前的版本、4.2.36 之前的版本、4.3.36 之前的版本、5.0.14 之前的版本 Oracle Linux 和虚拟化
MySQL Server,版本 5.5.46 及之前的版本、5.6.27 及之前的版本、5.7.9 Oracle MySQL 产品套件


可用补丁表与风险表


可用补丁表


对于所管理的每个 Oracle 产品,请查阅下表中提到的有关可用补丁信息和安装说明的文档。有关该重要补丁更新的相关 Oracle 产品文档的概述,请参阅 2016 年 1 月 Oracle 重要补丁更新文档概述 My Oracle Support 说明 2068533.1


产品分组 风险表 可用补丁和安装信息
Oracle 数据库 Oracle 数据库风险表 2016 年 1 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 2074802.1
Oracle 融合中间件 Oracle 融合中间件风险表 2016 年 1 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 2074802.1
Oracle 融合应用 Oracle 数据库风险表Oracle 融合中间件风险表 影响 Oracle DatabaseOracle Fusion Middleware 的漏洞可能会影响 Oracle 融合应用,因此 Oracle 客户应参阅 Oracle 融合应用重要补丁更新知识文档(2015 年 1 月)My Oracle Support 说明 1967316.1,了解有关要应用于融合应用环境的补丁的信息。
Oracle Enterprise Manager Oracle Enterprise Manage 风险表 2016 年 1 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 2074802.1
Oracle 应用 — E-Business Suite Oracle E-Business Suite 风险表 2016 年 1 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 2072202.1
Oracle 应用 — Oracle Supply Chain、PeopleSoft Enterprise、JDEdwards 和 iLearning Oracle Supply Chain 风险表
Oracle PeopleSoft Enterprise 风险表
Oracle JDEdwards 风险表
Oracle iLearning 风险表
针对 Oracle Supply Chain、PeopleSoft Enterprise、JDEdwards 和 iLearning 产品套件的重要补丁更新知识文档,My Oracle Support 说明 2095485.1
Oracle 通信应用套件 Oracle 通信应用风险表
Oracle 零售应用套件 Oracle 零售应用风险表
Oracle Java SE Oracle Java SE 风险表
  • 2016 年 1 月重要补丁更新中针对 Java SE 的可用补丁文档 My Oracle Support 说明 2087883.1
  • 使用浏览器运行 Java SE 的用户可以从 http://java.com/ 下载最新版本。Windows 和 Mac OS X 平台上的用户还可以使用自动更新获取最新版本。
  • JDK 及 JRE 7 和 8 最新更新中包含了 JavaFX 最新版本。
Oracle 和 Sun 系统产品套件 Oracle 和 Sun 系统产品套件风险表 2016 年 1 月重要补丁更新中针对 Oracle 和 Sun 系统产品套件的补丁发布文档 My Oracle Support 说明 2091648.1
Oracle Linux 和虚拟化产品 Oracle Linux 和虚拟化产品风险表 2016 年 1 月重要补丁更新中针对 Oracle Linux 和虚拟化产品的补丁发布文档 My Oracle Support 说明 2090210.1
Oracle MySQL Oracle MySQL 风险表 2016 年 1 月重要补丁更新中针对 Oracle MySQL 产品的可用补丁文档,My Oracle Support 说明 2096144.1

风险表内容


风险表只列出公告涉及到的补丁新近修复的安全漏洞。之前的安全修复程序的风险表包含在之前的重要补丁更新公告中。在此可获取本文档中提供的风险表的英语文本版本。


该重要补丁更新提出的几个漏洞影响多个产品。每个漏洞都通过一个漏洞号来标识,该编号是相应漏洞的唯一标识符。一个影响多个产品的漏洞将在所有风险表中显示相同的漏洞号。用斜体 显示的漏洞号表明该漏洞不仅影响斜体漏洞号所在行的产品,还影响其他产品。


安全漏洞使用 CVSS 2.0 版进行评估(请参阅用于解释 Oracle 如何应用 CVSS 2.0 的 Oracle CVSS 评估系统)。Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及利用得逞的潜在影响的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析自己的风险。有关详细信息,请参阅 Oracle 漏洞公开政策


风险表中的协议暗示其所有安全变体(如果适用)也将受到影响。例如,如果列出 HTTP 为受影响协议,则暗示 HTTPS(如果适用)也将受到影响。仅当协议的安全变体是唯一一个 受影响的变体时,才会在风险表中列出,例如,HTTPS 通常会列为 SSL 和 TLS 的漏洞。


解决方法

考虑到攻击得逞所带来的威胁,Oracle 强烈建议客户尽快应用 CPU 修复程序。如果不应用 CPU 修复程序,则无法通过阻止攻击所需的网络协议来降低攻击得逞的风险。对于需要特定权限或者需要访问特定程序包的攻击,对不需要这些权限的用户删除这些权限或者使其无法访问这些程序包可能有助于降低攻击得逞的风险。这两种方法都有可能损害应用功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。


漏掉的重要补丁更新

Oracle 强烈建议客户尽快应用安全修复程序。如果客户漏掉了一个或多个重要补丁更新,担心该 CPU 中未公布其修复程序的产品出现安全问题,请查看以前的重要补丁更新公告以确定要采取的行动。


产品相关性

某些 Oracle 产品可能依赖于其他 Oracle 产品。因此,该重要补丁更新中发布的安全漏洞修复程序可能影响一个或多个相关的 Oracle 产品。有关这些相关产品以及对相关产品应用补丁的详细信息,请参阅 2016 年 1 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 2074802.1


重要补丁更新支持的产品和版本

只有终身支持政策的标准支持或扩展支持阶段中涵盖的产品版本才提供通过重要补丁更新计划发布的补丁。建议客户规划产品升级,以确保当前运行的版本可以应用通过重要补丁更新计划发布的补丁。


没有对未涵盖在标准支持或扩展支持之下的产品版本测试过是否存在该重要补丁更新提出的安全漏洞。但是,很可能受影响的版本的那些早期版本也会受这些安全漏洞的影响。因此,Oracle 建议客户升级到受支持的版本。


受支持的数据库、融合中间件、Oracle Enterprise Manager Base Platform(以前的“Oracle Enterprise Manager Grid Control”)和 Collaboration Suite 产品根据软件错误更正支持政策(参见 My Oracle Support 说明 209768.1)进行修补。有关支持政策和支持阶段的详细指南,请查看技术支持政策


处于扩展支持阶段的产品

已购买终身支持政策下的扩展支持的客户可以使用通过重要补丁更新计划发布的补丁。客户必须具有有效的扩展支持服务合同,才能在扩展支持阶段下载通过重要补丁更新计划发布的补丁。


致谢声明

该重要补丁更新修复的安全漏洞由以下人员或组织向 Oracle 报告:Raytheon Foreground Security 的 Adam Willard;ERPScan 的 Alexey Tyurin;与 HP 的零时差计划合作的 Andrea Micalizzi(即 rgod);与 HP 的零时差计划合作的匿名人士;Brandon Vincent;Cybersecurity-upv;Google 的 David Litchfield;Secunia Research 的 Dmitry Janushkevich;Onapsis 的 Fernando Russ;Fortinet, Inc. 的 FortiGuard Labs;Context Information Security 的 Francois Goichon;McAfee 数据库安全研究团队的 Igor Kopylenko;ERPScan 的 Ivan Chalykin;ING Services Polska 的 Jakub Palaczynski;INRIA 的 Karthikeyan Bhargavan、Gaetan Leurent;Salesforce.com 的 Lovi Yu;Luca Carettoni;Onapsis 的 Matias Mevied;与 HP 的零时差计划合作的 Mike Arnold (Bruk0ut);Nassim Bouali;Advanced Information Security Corporation 的 Nicholas Lemonias;ERPScan 的 Nikita Kelesis;Salesforce.com 的 Peter Kostiuk;American Eagle Outfitters 的 Ryan Giobbi;Salesforce.com 的 Sergey Gorbaty;McAfee Security Research 的 Shai Meir;COSMOTE - Mobile Telecommunications S.A. 的 Spyridon Chatzimichail;Stefan Kanthak;Integrigy 的 Stephen Kost;Salesforce.com 的 Travis Emmert;CERT/CC 的 Will Dormann。


深度安全贡献者


Oracle 向那些为我们的深度安全计划作出贡献的人表示感谢(参见常见问题解答)。对于导致在以后版本中大量修改 Oracle 代码或文档但是严重程度不足以归类到重要补丁更新中的安全漏洞问题,如果有人提供相关的信息、发现或建议,则会因为深度安全作出贡献而受到褒奖。

在此重要补丁更新公告中,Oracle 向以下为 Oracle 深度安全计划作出贡献的人们表示感谢:Raytheon Foreground Security 的 Adam Willard;Calum Hutton;Google 的 David Litchfield;John Page (hyp3rlinx);Integrigy 的 Stephen Kost;Wouter Coekaerts。


在线业务安全贡献者


Oracle 向那些为我们的在线业务安全计划作出贡献的人表示感谢(参见常见问题解答)。如果有人提供会导致在以后版本中大量修改 Oracle 面向外部的在线系统安全问题相关的信息、发现或建议,则会因为在线业务安全作出贡献而受到褒奖。

本季度,Oracle 向以下为 Oracle 在线业务安全计划作出贡献的人们表示感谢:Raytheon Foreground Security 的 Adam Willard;Ahmed Adel Abdelfattah;Ayoub Ait Elmokhtar;Ben Khlifa Fahmi;Cyber Warrior 错误研究人员;Danyal Zafar;Hamza Zulfiqar Bhatti;Jose Carlos Exposito Bueno;Khair Alhamad;Mohamed Khaled Fathy;Mohammed Al Bess、Mohammed Al Bess 的 Mohammad Abuhassan、Mohammad Abuhassan;Muhammed Gamal Fahmy;Pradeep Kumar;Prem Kumar;Renato Rodrigues;Samuel Orellana;Maads Security 的 Shahmeer Amir;Shawar Khan;Waleed Ezz Eldin (WIBF);Future-Sec 的 Weijun Lin 。


重要补丁更新时间表

重要补丁更新在距 1 月、4 月、7 月和 10 月的第 17 日最近的星期二发布。接下来的四个日期为:

  • 2016 年 4 月 19 日
  • 2016 年 7 月 19 日
  • 2016 年 10 月 18 日
  • 2017 年 1 月 17 日

参考资料


修改记录


2016 年 1 月 19 日 修订版 1。初始版本

 

附录 — Oracle 数据库服务器

 

 

Oracle 数据库服务器执行概要

 

该重要补丁更新包含以下 10 个针对 Oracle 数据库服务器的新安全修复程序:

  • 7 个针对 Oracle 数据库服务器的新安全修复程序。其中不存在无需身份验证即可远程利用的漏洞(即,无人可以在无需用户名和口令的情况下通过网络利用这些漏洞)。所有这些修复程序都不适用于仅客户端的安装(即,没有安装 Oracle 数据库服务器的安装)。在此可获取此风险表的英语文本形式。

     

  • 3 个针对 Oracle GoldenGate 的新安全修复程序。所有这些漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

     

 

 

Oracle 数据库服务器风险表


漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2016-0499 Java VM 多个 具备 Create Session 权限 9.0 网络 一次性 11.2.0.4、12.1.0.1、12.1.0.2 参见注释 1
CVE-2015-4925 Workspace Manager Oracle Net 具备 Create Session、Create Table、Create Procedure 权限 6.5 网络 一次性 部分+ 部分+ 部分+ 11.2.0.4  
CVE-2016-0472 XDB — XML 数据库 Oracle Net 具备 Create Session 权限 5.5 网络 一次性 部分+ 部分 11.2.0.4、12.1.0.1、12.1.0.2  
CVE-2015-4921 Database Vault Oracle Net 具备 Create Session 权限 4.0 网络 一次性 部分 11.2.0.4、12.1.0.1、12.1.0.2  
CVE-2016-0467 安全性 Oracle Net 具备 Create Session、Create Java Source 权限 4.0 网络 一次性 部分 11.2.0.4、12.1.0.1、12.1.0.2  
CVE-2016-0461 XDB — XML 数据库 Oracle Net 具备 Create Session 权限 4.0 网络 一次性 部分 11.2.0.4、12.1.0.1、12.1.0.2  
CVE-2015-4923 XML Developer's Kit for C HTTP 有效帐户 4.0 网络 一次性 部分 11.2.0.4、12.1.0.1、12.1.0.2  
 

 

注:

  1. 仅 Windows 上 Database 12c 之前版本的 CVSS 评分为 9.0。Windows 上的 Database 12c 以及 Linux、Unix 和其他平台上的 Database 版本的 CVSS 为 6.5(机密性、完整性和可用性为“部分+”)。


 

Oracle GoldenGate 执行概要

 

该重要补丁更新包含 3 个针对 Oracle GoldenGate 的新安全修复程序。所有这些漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

 

Oracle GoldenGate 风险表


漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2016-0451 Oracle GoldenGate Oracle Golden Gate 10.0 网络 11.2、12.1.2 参见注释 1
CVE-2016-0452 Oracle GoldenGate Oracle Golden Gate 10.0 网络 11.2、12.1.2 参见注释 1
CVE-2016-0450 Oracle GoldenGate Oracle Golden Gate 5.0 网络 部分+ 11.2、12.1.2  
 

 

注:

  1. 仅 Windows 上 Database 12c 之前版本的 CVSS 评分为 10.0。Windows 上的 Database 12c 以及 Linux、Unix 和其他平台上的 Database 版本的 CVSS 为 7.5(机密性、完整性和可用性为“部分+”)。

 

附录 — Oracle 融合中间件

 

 

Oracle 融合中间件执行概要

 

该重要补丁更新包含 27 个针对 Oracle 融合中间件的新安全修复程序。其中 17 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

Oracle 融合中间件产品包括受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库组件。Oracle 融合中间件产品暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库安全修复程序未列在 Oracle 融合中间件风险表中。然而,由于影响 Oracle 数据库版本的漏洞可能影响 Oracle 融合中间件产品,Oracle 建议客户将 2016 年 1 月的重要补丁更新应用于 Oracle 融合中间件产品的 Oracle 数据库组件。有关您的环境需要应用哪些补丁的信息,请参阅 2016 年 1 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 2074802.1

 

Oracle 融合中间件风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2014-0107 Oracle WebCenter Sites HTTP Sites 7.5 网络 部分 部分 部分 7.6.2、11.1.1.8.0  
CVE-2013-2186 Oracle WebLogic Portal HTTP Core Services 7.5 网络 部分 部分 部分 10.3.6  
CVE-2016-0574 Oracle WebLogic Server HTTP WLS 核心组件 7.5 网络 部分+ 部分+ 部分+ 10.3.6、12.1.2、12.1.3、12.2.1  
CVE-2014-0107 Oracle WebLogic Server HTTP XML Parser 7.5 网络 部分 部分 部分 10.3.6、12.1.2、12.1.3  
CVE-2016-0573 Oracle WebLogic Server JMS WLS Java 消息传递服务 7.5 网络 部分+ 部分+ 部分+ 10.3.6、12.1.2、12.1.3、12.2.1  
CVE-2016-0572 Oracle WebLogic Server 多个 Coherence 容器 7.5 网络 部分+ 部分+ 部分+ 10.3.6、12.1.2、12.1.3、12.2.1  
CVE-2016-0577 Oracle WebLogic Server T3 WLS 核心组件 7.5 网络 部分+ 部分+ 部分+ 10.3.6、12.1.2、12.1.3、12.2.1  
CVE-2016-0441 Oracle GlassFish Server HTTP Embedded Server 6.8 网络 一次性 部分+ 3.1.2  
CVE-2015-1793 Oracle Business Intelligence 企业版 HTTPS BI 平台安全性 6.4 网络 部分 部分 11.1.1.7.0、11.1.1.9.0  
CVE-2015-1793 Oracle Endeca Server HTTPS SSL/TLS 6.4 网络 部分 部分 7.3.0.0、7.4.0.0、7.5.0.0、7.6.0.0  
CVE-2015-1793 Oracle Tuxedo HTTPS SSL/TLS 6.4 网络 部分 部分 12.1.1.0  
CVE-2016-0470 Oracle BI Publisher HTTP BI Publisher 安全性 5.5 网络 一次性 部分 部分 11.1.1.7.0、11.1.1.9.0、12.2.1.0.0  
CVE-2016-0439 Web Cache HTTPS SSL 支持 5.0 网络 部分 11.1.1.7.0、11.1.1.9.0  
CVE-2016-0401 Oracle BI Publisher HTTP 调度程序 4.3 网络 部分 11.1.1.7.0、11.1.1.9.0  
CVE-2016-0429 Oracle BI Publisher HTTP 调度程序 4.3 网络 部分 11.1.1.7.0、11.1.1.9.0  
CVE-2016-0404 Oracle Identity Federation HTTP 管理 4.3 网络 部分 11.1.2.2  
CVE-2016-0464 Oracle WebLogic Server HTTP WLS-Console 4.3 网络 部分 10.3.6、12.1.2、12.1.3  
CVE-2016-0430 Web Cache HTTPS SSL 支持 4.3 网络 部分 11.1.1.7.0、11.1.1.9.0  
CVE-2016-0433 Web Cache HTTPS SSL 支持 4.3 网络 部分 11.1.1.9.0  
CVE-2016-0614 Oracle BI Publisher HTTP 安全性 4.0 网络 一次性 部分 11.1.1.7.0、11.1.1.9.0、12.2.1.0.0  
CVE-2016-0413 Oracle Identity Federation HTTP 联合协议支持 4.0 网络 一次性 部分+ 11.1.1.7  
CVE-2015-4808 Oracle Outside In Technology Outside In Filter 1.9 本地 部分 8.5.0、8.5.1、8.5.2 参见注释 1
CVE-2015-6013 Oracle Outside In Technology Outside In Filter 1.9 本地 部分 8.5.0、8.5.1、8.5.2 参见注释 1
CVE-2015-6014 Oracle Outside In Technology Outside In Filter 1.9 本地 部分 8.5.0、8.5.1、8.5.2 参见注释 1
CVE-2015-6015 Oracle Outside In Technology Outside In Filter 1.9 本地 部分 8.5.0、8.5.1、8.5.2 参见注释 1
CVE-2016-0432 Oracle Outside In Technology Outside In Filter 1.9 本地 部分 8.5.0、8.5.1、8.5.2 参见注释 1
CVE-2016-0453 Oracle GlassFish Server HTTP Embedded Server 1.8 邻近网络 部分 3.1.2  
 

 

注:

  1. Outside In Technology 是一个软件开发工具包 (SDK) 套件。它没有任何特定的相关协议。如果托管软件通过网络将收到的数据传递给 Outside In Technology 代码,则 CVSS 基本评分将升高到 6.8。

解决的其他 CVE:

  1. CVE-2013-2186 修复程序还解决了 CVE-2014-0050。

 

附录 — Oracle Enterprise Manager Grid Control

 

 

Oracle Enterprise Manager Grid Control 执行概要

 

该重要补丁更新包含 33 个针对 Oracle Enterprise Manager Grid Control 的新安全修复程序。其中 23 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。所有这些修复程序都不适用于仅客户端的安装(即,没有安装 Oracle Enterprise Manager Grid Control 的安装)。在此可获取此风险表的英语文本形式。

Oracle Enterprise Manager 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库和 Oracle 融合中间件部分中所列漏洞的影响。Oracle Enterprise Manager 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle Enterprise Manager 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle Enterprise Manager 产品,Oracle 建议客户将 2016 年 1 月的重要补丁更新应用于 Enterprise Manager 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 2016 年 1 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 2074802.1

 

Oracle Enterprise Manager Grid Control 风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2013-1741 Enterprise Manager Ops Center HTTP Satellite Framework 7.5 网络 部分+ 部分+ 部分+ 12.1.4、12.2.0、12.2.1、12.3.0 之前的版本  
CVE-2016-0415 Enterprise Manager Base Platform HTTP UI Framework 6.8 网络 部分 部分 部分 11.1.0.1、12.1.0.4、12.1.0.5  
CVE-2016-0442 Enterprise Manager Base Platform HTTP 加载器服务 6.5 网络 一次性 部分 部分 部分+ 12.1.0.4、12.1.0.5  
CVE-2016-0489 Oracle Application Testing Suite HTTP Test Manager for Web Apps 6.5 网络 一次性 部分 部分 部分 12.4.0.2、12.5.0.2  
CVE-2015-1793 Enterprise Manager Base Platform HTTPS Discovery Framework 6.4 网络 部分 部分 12.1.0.4、12.1.0.5  
CVE-2015-1793 Enterprise Manager Ops Center HTTPS 网络 6.4 网络 部分 部分 12.1.4、12.2.0、12.2.1、12.3.0 之前的版本  
CVE-2016-0488 Oracle Application Testing Suite HTTP Load Testing for Web Apps 6.4 网络 部分 部分 12.4.0.2、12.5.0.2  
CVE-2016-0491 Oracle Application Testing Suite HTTP Load Testing for Web Apps 6.4 网络 部分+ 部分 12.4.0.2、12.5.0.2  
CVE-2016-0492 Oracle Application Testing Suite HTTP Load Testing for Web Apps 6.4 网络 部分 部分 12.4.0.2、12.5.0.2  
CVE-2016-0487 Oracle Application Testing Suite HTTP Test Manager for Web Apps 6.4 网络 部分 部分 12.4.0.2、12.5.0.2  
CVE-2016-0490 Oracle Application Testing Suite HTTP Test Manager for Web Apps 6.4 网络 部分 部分 12.4.0.2、12.5.0.2  
CVE-2016-0455 Enterprise Manager Base Platform Agent Next Gen 5.2 本地 一次性 部分 11.1.0.1、11.2.0.4、12.1.0.4、12.1.0.5  
CVE-2015-0286 Enterprise Manager Ops Center HTTP 网络 5.0 网络 部分 12.1.4、12.2.0、12.2.1、12.3.0 之前的版本  
CVE-2015-3153 Enterprise Manager Ops Center HTTP 网络 5.0 网络 部分 12.1.4、12.2.0、12.2.1、12.3.0 之前的版本  
CVE-2014-3583 Enterprise Manager Ops Center HTTP Update Provisioning 5.0 网络 部分 12.1.4、12.2.0、12.2.1、12.3.0 之前的版本  
CVE-2016-0476 Oracle Application Testing Suite HTTP Load Testing for Web Apps 5.0 网络 部分+ 12.4.0.2、12.5.0.2  
CVE-2016-0477 Oracle Application Testing Suite HTTP Load Testing for Web Apps 5.0 网络 部分+ 12.4.0.2、12.5.0.2  
CVE-2016-0478 Oracle Application Testing Suite HTTP Load Testing for Web Apps 5.0 网络 部分+ 12.4.0.2、12.5.0.2  
CVE-2016-0480 Oracle Application Testing Suite HTTP Test Manager for Web Apps 5.0 网络 部分 12.4.0.2、12.5.0.2  
CVE-2016-0481 Oracle Application Testing Suite HTTP Test Manager for Web Apps 5.0 网络 部分 12.4.0.2、12.5.0.2  
CVE-2016-0482 Oracle Application Testing Suite HTTP Test Manager for Web Apps 5.0 网络 部分 12.4.0.2、12.5.0.2  
CVE-2016-0484 Oracle Application Testing Suite HTTP Test Manager for Web Apps 5.0 网络 部分+ 12.4.0.2、12.5.0.2  
CVE-2016-0485 Oracle Application Testing Suite HTTP Test Manager for Web Apps 5.0 网络 部分 12.4.0.2、12.5.0.2  
CVE-2016-0486 Oracle Application Testing Suite HTTP Test Manager for Web Apps 5.0 网络 部分+ 12.4.0.2、12.5.0.2  
CVE-2016-0411 Enterprise Manager Base Platform Agent Next Gen 4.6 本地 部分+ 部分+ 部分+ 11.1.0.1、11.2.0.4  
CVE-2016-0445 Enterprise Manager Base Platform Agent Next Gen 4.6 本地 部分+ 部分+ 部分+ 11.1.0.1、11.2.0.4、12.1.0.4、12.1.0.5  
CVE-2016-0447 Enterprise Manager Base Platform Agent Next Gen 4.6 本地 部分 部分 部分 11.1.0.1、11.2.0.4、12.1.0.4、12.1.0.5  
CVE-2016-0449 Enterprise Manager Base Platform Agent Next Gen 4.6 本地 部分 部分 部分 11.1.0.1、11.2.0.4、12.1.0.4、12.1.0.5  
CVE-2016-0444 Enterprise Manager Base Platform Agent Next Gen 4.4 本地 部分+ 部分 部分 11.1.0.1、11.2.0.4、12.1.0.4、12.1.0.5  
CVE-2015-4885 Enterprise Manager Base Platform HTTP Agent Next Gen 4.3 网络 部分 12.1.0.4  
CVE-2016-0443 Enterprise Manager Base Platform HTTP Agent Next Gen 4.3 网络 部分+ 11.1.0.1、12.1.0.4、12.1.0.5  
CVE-2016-0427 Enterprise Manager Base Platform HTTP UI Framework 4.0 网络 一次性 部分 11.1.0.1、11.2.0.4、12.1.0.4、12.1.0.5  
CVE-2016-0446 Enterprise Manager Base Platform Agent Next Gen 2.1 本地 部分+ 11.1.0.1、11.2.0.4、12.1.0.4、12.1.0.5  
 

 

解决的其他 CVE:

  1. CVE-2013-1741 修复程序还解决了 CVE-2013-1739、CVE-2013-1740、CVE-2013-5605、CVE-2013-5606、CVE-2013-5855、CVE-2014-1490、CVE-2014-1491、CVE-2014-1492。
  2. CVE-2014-3583 修复程序还解决了 CVE-2013-5704、CVE-2014-3581、CVE-2014-8109。
  3. CVE-2015-0286 修复程序还解决了 CVE-2015-0204、CVE-2015-0207、CVE-2015-0208、CVE-2015-0209、CVE-2015-0285、CVE-2015-0287、CVE-2015-0288、CVE-2015-0289、CVE-2015-0290、CVE-2015-0291、CVE-2015-0292、CVE-2015-0293、CVE-2015-1787。

 

附录 — Oracle 应用

 

 

Oracle E-Business Suite 执行概要

 

该重要补丁更新包含 78 个针对 Oracle E-Business Suite 的新安全修复程序。其中 69 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

Oracle E-Business Suite 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库和 Oracle 融合中间件部分中所列漏洞的影响。Oracle E-Business Suite 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle E-Business Suite 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle E-Business Suite 产品,Oracle 建议客户将 2016 年 1 月的重要补丁更新应用于 Oracle E-Business Suite 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 Oracle E-Business Suite 11i 和 12 版重要补丁更新知识文档(2016 年 1 月)My Oracle Support 说明 2072202.1

 

Oracle E-Business Suite 风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2016-0576 Oracle Application Object Library HTTP ICX LOV 6.4 网络 部分+ 部分+ 11.5.10.2  
CVE-2016-0589 Oracle Application Object Library HTTP 菜单 6.4 网络 部分+ 部分+ 11.5.10.2  
CVE-2016-0581 Oracle Access Management HTTP AME 页面呈现 6.4 网络 部分+ 部分+ 11.5.10.2  
CVE-2016-0514 Oracle CRM Technical Foundation HTTP BIS 通用组件 6.4 网络 部分+ 部分+ 11.5.10.2  
CVE-2016-0515 Oracle CRM Technical Foundation HTTP BIS 通用组件 6.4 网络 部分+ 部分+ 11.5.10.2  
CVE-2016-0550 Oracle CRM Technical Foundation HTTP CRM HTML 管理 6.4 网络 部分+ 部分+ 11.5.10.2、12.1.3、12.2.3、12.2.4、12.2.5  
CVE-2016-0563 Oracle CRM Technical Foundation HTTP Common Techstack 6.4 网络 部分+ 部分+ 11.5.10.2、12.1.3  
CVE-2016-0532 Oracle CRM Technical Foundation HTTP Security Assignments 6.4 网络 部分 部分 11.5.10.2、12.1.3、12.2.3、12.2.4、12.2.5  
CVE-2016-0578 Oracle CRM Technology Foundation HTTP BIS 通用组件 6.4 网络 部分+ 部分+ 11.5.10.2  
CVE-2016-0545 Oracle Customer Intelligence HTTP 数据问题 6.4 网络 部分+ 部分+ 11.5.10.2、12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5  
CVE-2016-0551 Oracle Customer Intelligence HTTP 数据问题 6.4 网络 部分+ 部分+ 11.5.10.2、12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5  
CVE-2016-0552 Oracle Customer Intelligence HTTP 数据问题 6.4 网络 部分+ 部分+ 11.5.10.2、12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5  
CVE-2016-0559 Oracle Customer Intelligence HTTP 数据问题 6.4 网络 部分+ 部分+ 11.5.10.2、12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5  
CVE-2016-0560 Oracle Customer Intelligence HTTP 数据问题 6.4 网络 部分+ 部分+ 11.5.10.2、12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5  
CVE-2016-0527 Oracle Customer Interaction History HTTP 用户 GUI 6.4 网络 部分 部分 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5  
CVE-2016-0528 Oracle Customer Interaction History HTTP 用户 GUI 6.4 网络 部分 部分 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5  
CVE-2016-0529 Oracle Customer Interaction History HTTP 用户 GUI 6.4 网络 部分 部分 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5  
CVE-2016-0530 Oracle Customer Interaction History HTTP 用户 GUI 6.4 网络 部分 部分 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5  
CVE-2016-0510 Oracle E-Business Intelligence HTTP 业务视图目录 6.4 网络 部分+ 部分+ 11.5.10.2  
CVE-2016-0511 Oracle E-Business Intelligence HTTP 通用组件 6.4 网络 部分+ 部分+ 11.5.10.2  
CVE-2016-0547 Oracle E-Business Intelligence HTTP 通用组件 6.4 网络 部分+ 部分+ 11.5.10.2  
CVE-2016-0548 Oracle E-Business Intelligence HTTP 通用组件 6.4 网络 部分+ 部分+ 11.5.10.2  
CVE-2016-0549 Oracle E-Business Intelligence HTTP 通用组件 6.4 网络 部分+ 部分+ 11.5.10.2  
CVE-2016-0553 Oracle E-Business Intelligence HTTP 定义 6.4 网络 部分+ 部分+ 11.5.10.2、12.1.1、12.1.2、12.1.3  
CVE-2016-0517 Oracle Human Resources HTTP 通用实用程序 6.4 网络 部分+ 部分+ 11.5.10.2  
CVE-2016-0518 Oracle Human Resources HTTP 通用实用程序 6.4 网络 部分+ 部分+ 11.5.10.2  
CVE-2016-0537 Oracle Human Resources HTTP 人员 6.4 网络 部分+ 部分+ 11.5.10.2  
CVE-2016-0512 Oracle Human Resources HTTP 自助服务 — 通用模块 6.4 网络 部分+ 部分+ 11.5.10.2  
CVE-2016-0554 Oracle Interaction Center Intelligence HTTP 商务智能 6.4 网络 部分+ 部分+ 11.5.10.2、12.1.1、12.1.2、12.1.3  
CVE-2016-0544 Oracle Marketing HTTP 架构 6.4 网络 部分+ 部分+ 11.5.10.2  
CVE-2016-0543 Oracle Marketing HTTP 预览 6.4 网络 部分+ 部分+ 11.5.10.2  
CVE-2016-0516 Oracle Quality HTTP QA/订单管理集成 6.4 网络 部分+ 部分+ 11.5.10.2  
CVE-2016-0524 Oracle Universal Work Queue HTTP 工作提供商管理 6.4 网络 部分+ 部分+ 11.5.10.2  
CVE-2016-0525 Oracle Universal Work Queue HTTP 工作提供商管理 6.4 网络 部分+ 部分+ 11.5.10.2、12.1.1、12.1.2、12.1.3  
CVE-2016-0556 Oracle Advanced Collections HTTP 管理 5.5 网络 一次性 部分+ 部分+ 11.5.10.2、12.1.1、12.1.2、12.1.3  
CVE-2016-0557 Oracle Advanced Collections HTTP 管理 5.5 网络 一次性 部分+ 部分+ 11.5.10.2、12.1.1、12.1.2、12.1.3  
CVE-2016-0561 Oracle E-Business Intelligence HTTP 定义 5.5 网络 一次性 部分+ 部分+ 11.5.10.2、12.1.1、12.1.2、12.1.3  
CVE-2016-0564 Oracle E-Business Intelligence HTTP 概述页面/报告呈现 5.5 网络 一次性 部分+ 部分+ 11.5.10.2、12.1.1、12.1.2、12.1.3  
CVE-2016-0523 Oracle Interaction Blending HTTP 混合管理 5.5 网络 一次性 部分+ 部分+ 11.5.10.2、12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5  
CVE-2016-0456 Application Mgmt Pack for E-Business Suite HTTP REST 框架 5.0 网络 部分 12.1、12.2  
CVE-2016-0457 Application Mgmt Pack for E-Business Suite HTTP REST 框架 5.0 网络 部分 12.1、12.2  
CVE-2016-0585 Oracle Application Object Library HTTP ICX 错误 5.0 网络 部分+ 11.5.10.2  
CVE-2016-0571 Oracle Balanced Scorecard HTTP 记分卡安全性 5.0 网络 部分 11.5.10.2、12.1  
CVE-2016-0526 Oracle CRM Technical Foundation HTTP 无线框架 5.0 网络 部分 11.5.10.2、12.1.3、12.2.3、12.2.4、12.2.5  
CVE-2016-0567 Oracle E-Business Intelligence HTTP 嵌入式数据仓库 5.0 网络 部分 11.5.10.2、12.1.1、12.1.2、12.1.3  
CVE-2016-0569 Oracle E-Business Intelligence HTTP 概述页面/报告呈现 5.0 网络 部分 11.5.10.2、12.1.1、12.1.2、12.1.3  
CVE-2016-0568 Oracle Email Center HTTP 服务器组件 5.0 网络 部分 12.1.1、12.1.2、12.1.3  
CVE-2016-0538 Oracle Financial Consolidation Hub HTTP 商务智能 5.0 网络 部分 11.5.10.2、12.1.1、12.1.2、12.1.3  
CVE-2016-0570 Oracle HCM Configuration Workbench HTTP 内部操作 5.0 网络 部分 12.1.1、12.1.2、12.1.3  
CVE-2015-3195 Oracle HTTP Server HTTP Open SSL 5.0 网络 部分 11.5.10.2  
CVE-2016-0566 Oracle Marketing HTTP 成果 5.0 网络 部分 11.5.10.2、12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5  
CVE-2016-0565 Oracle Marketing HTTP 市场营销管理 5.0 网络 部分 11.5.10.2、12.1.1、12.1.2、12.1.3  
CVE-2016-0580 Oracle Report Manager HTTP 发布 5.0 网络 部分+ 11.5.10.2  
CVE-2016-0539 Oracle Report Manager HTTP 报告显示 5.0 网络 部分 11.5.10.2、12.1.3、12.2.3、12.2.4  
CVE-2016-0520 Oracle Application Object Library HTTP Java API 4.3 网络 部分 11.5.10.2  
CVE-2016-0586 Oracle Application Object Library HTTP iHelp 4.3 网络 部分 11.5.10.2  
CVE-2016-0555 Oracle CADView-3D HTTP Studio 4.3 网络 部分 11.5.10.2、12.1.1、12.1.2、12.1.3  
CVE-2016-0513 Oracle CRM Technical Foundation HTTP BIS 通用组件 4.3 网络 部分 11.5.10.2  
CVE-2016-0533 Oracle CRM Technical Foundation HTTP 消息传递 4.3 网络 部分 11.5.10.2、12.1.3  
CVE-2016-0579 Oracle CRM Technology Foundation HTTP BIS 通用组件 4.3 网络 部分 11.5.10.2  
CVE-2016-0582 Oracle CRM Technology Foundation HTTP BIS 通用组件 4.3 网络 部分 11.5.10.2  
CVE-2016-0583 Oracle CRM Technology Foundation HTTP BIS 通用组件 4.3 网络 部分 11.5.10.2  
CVE-2016-0584 Oracle CRM Technology Foundation HTTP BIS 通用组件 4.3 网络 部分 11.5.10.2  
CVE-2016-0542 Oracle Field Service HTTP 现场服务地图 4.3 网络 部分 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5  
CVE-2016-0588 Oracle General Ledger HTTP 合并层次结构查看器 4.3 网络 部分 11.5.10.2  
CVE-2016-0509 Oracle Internet Expenses HTTP AP Web 实用程序 4.3 网络 部分 11.5.10.2  
CVE-2016-0575 Oracle Learning Management HTTP OTA 自助服务 4.3 网络 部分 11.5.10.2  
CVE-2016-0534 Oracle Project Contracts HTTP 打印 4.3 网络 部分 12.1.1、12.1.2、12.1.3  
CVE-2016-0558 Oracle Service Contracts HTTP 续签 4.3 网络 部分 11.5.10.2、12.1.1、12.1.2、12.1.3  
CVE-2016-0536 Oracle Universal Work Queue HTTP 错误消息 4.3 网络 部分 11.5.10.2  
CVE-2016-0521 Oracle iProcurement HTTP 重定向 4.3 网络 部分 11.5.10.2  
CVE-2016-0507 Oracle iReceivables HTTP AR Web 实用程序 4.3 网络 部分 11.5.10.2  
CVE-2016-0519 Oracle iReceivables HTTP AR Web 实用程序 4.3 网络 部分 11.5.10.2  
CVE-2016-0459 Oracle Applications Framework HTTP 弹出窗口 4.0 网络 一次性 部分 11.5.10.2、12.1.3、12.2.3、12.2.4、12.2.5  
CVE-2016-0531 Oracle Applications Manager HTTP Oracle 诊断界面 4.0 网络 一次性 部分 12.1.3  
CVE-2016-0562 Oracle Common Applications HTTP CRM 用户管理框架 4.0 网络 一次性 部分 11.5.10.2、12.1.1、12.1.2、12.1.3  
CVE-2015-4926 Oracle Applications Framework HTTP UIX 2.6 网络 部分 11.5.10.2、12.1、12.2  
CVE-2016-0454 Oracle Mobile Application Servlet MWA Server Manager 2.1 本地 部分 12.1、12.2  
 

 

解决的其他 CVE:

  1. CVE-2015-3195 修复程序还解决了 CVE-2015-1788、CVE-2015-1789、CVE-2015-1790、CVE-2015-1791、CVE-2015-1792。


 

Oracle Supply Chain 产品套件执行概要

 

该重要补丁更新包含 5 个针对 Oracle Supply Chain 产品套件的新安全修复程序。其中 3 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

 

Oracle Supply Chain 产品套件风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2016-0540 Oracle Configurator HTTP UI Servlet 5.0 网络 部分 11.5.10.2、12.1、12.2  
CVE-2016-0541 Oracle Configurator HTTP UI Servlet 5.0 网络 部分 11.5.10.2、12.1、12.2  
CVE-2016-0497 Oracle Agile Engineering Data Management HTTP Web 客户端 4.3 网络 部分 6.1.2.2、6.1.3.0、6.2.0.0  
CVE-2015-4924 Oracle Agile PLM HTTP 安全性 3.5 网络 一次性 部分 9.3.1.1、9.3.1.2、9.3.2、9.3.3  
CVE-2016-0498 Oracle Agile Engineering Data Management 安装 1.5 本地 一次性 部分+ 6.1.2.2、6.1.3.0、6.2.0.0  
 

 



 

Oracle PeopleSoft 产品执行概要

 

该重要补丁更新包含 11 个针对 Oracle PeopleSoft 产品的新安全修复程序。其中 4 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

 

Oracle PeopleSoft 产品风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2016-0591 PeopleSoft Enterprise SCM Purchasing HTTP 供应商变更 5.5 网络 一次性 部分 部分 9.1、9.2  
CVE-2016-0460 PeopleSoft Enterprise PeopleTools HTTP 流式主页和导航栏 5.0 网络 部分 8.55  
CVE-2016-0471 PeopleSoft Enterprise PeopleTools HTTP 多通道框架 4.3 网络 部分 8.53、8.54  
CVE-2016-0463 PeopleSoft Enterprise PeopleTools HTTP 门户 4.3 网络 部分 8.53、8.54、8.55  
CVE-2016-0590 PeopleSoft Enterprise SCM Order Management HTTP 安全性 4.3 网络 部分 9.1、9.2  
CVE-2016-0409 PeopleSoft Enterprise HCM Global Payroll Switzerland HTTP 安全性 4.0 网络 一次性 部分 9.1、9.2  
CVE-2016-0587 PeopleSoft Enterprise PeopleTools HTTP 文件处理 4.0 网络 一次性 部分 8.53、8.54、8.55  
CVE-2016-0462 PeopleSoft Enterprise PeopleTools HTTP 多通道框架 4.0 网络 一次性 部分 8.53、8.54  
CVE-2016-0473 PeopleSoft Enterprise PeopleTools HTTP 流式核心 3.5 网络 一次性 部分 8.54、8.55  
CVE-2016-0474 PeopleSoft Enterprise PeopleTools HTTP PIA Core Technology 3.5 网络 一次性 部分 8.54、8.55  
CVE-2016-0412 PeopleSoft Enterprise SCM eProcurement HTTP Talent Acquisition Manager 3.5 网络 一次性 部分 9.1、9.2  
 

 



 

Oracle JD Edwards 产品执行概要

 

该重要补丁更新包含 7 个针对 Oracle JD Edwards 产品的新安全修复程序。其中 6 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

 

Oracle JD Edwards 产品风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2016-0420 JD Edwards EnterpriseOne Tools HTTP 监视和诊断 7.8 网络 9.1、9.2  
CVE-2016-0423 JD Edwards EnterpriseOne Tools HTTP Enterprise Infrastructure SEC 7.3 网络 部分+ 9.1、9.2  
CVE-2016-0422 JD Edwards EnterpriseOne Tools HTTP Enterprise Infrastructure SEC 7.1 网络 9.1、9.2  
CVE-2016-0424 JD Edwards EnterpriseOne Tools HTTP 企业基础架构 SEC 7.1 网络 9.1、9.2  
CVE-2015-4919 JD Edwards EnterpriseOne Tools HTTP 监视和诊断 SEC 6.8 网络 部分+ 部分+ 部分+ 9.1、9.2  
CVE-2016-0425 JD Edwards EnterpriseOne Tools HTTP 监视和诊断 6.0 网络 一次性 部分+ 部分+ 部分+ 9.1、9.2  
CVE-2016-0421 JD Edwards EnterpriseOne Tools HTTP 监视和诊断 SEC 5.0 网络 部分+ 9.1、9.2  
 

 



 

Oracle iLearning 执行概要

 

该重要补丁更新包含 1 个针对 Oracle iLearning 的新安全修复程序。此漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和密码。在此可获取此风险表的英语文本形式。

 

Oracle iLearning 风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2016-0508 Oracle iLearning HTTP 学员管理 4.3 网络 部分 6.0、6.1  
 

 


 

附录 — Oracle 行业应用

 

 

Oracle 通信应用执行概要

 

该重要补丁更新包含 5 个针对 Oracle 通信应用的新安全修复程序。其中不存在无需身份验证即可远程利用的漏洞(即,无人可以在无需用户名和口令的情况下通过网络利用这些漏洞)。在此可获取此风险表的英语文本形式。

 

Oracle 通信应用风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2015-0235 Oracle Communications EAGLE LNP Application Processor 多个 Glibc 6.0 网络 一次性 部分 部分 部分 10.0  
CVE-2014-0050 Oracle Communications Converged Application Server — Service Controller HTTP Apache Commons FileUpLoad 5.8 邻近网络 部分 部分 部分 6.1  
CVE-2014-0050 Oracle Communications Online Mediation Controller HTTP Apache Commons FileUpLoad 5.8 邻近网络 部分 部分 部分 6.1  
CVE-2014-0050 Oracle Communications Service Broker HTTP Apache Commons FileUpLoad 5.8 邻近网络 部分 部分 部分 6.0、6.1  
CVE-2014-0050 Oracle Communications Service Broker 集成系统版 HTTP Apache Commons FileUpLoad 5.5 网络 一次性 部分 部分 6.0  
 

 

解决的其他 CVE:

  1. CVE-2014-0050 修复程序还解决了 CVE-2013-2186。


 

Oracle 零售应用执行概要

 

该重要补丁更新包含 9 个针对 Oracle 零售应用的新安全修复程序。其中 4 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

 

Oracle 零售应用风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2016-0522 Oracle 零售业开放式商务平台云服务 HTTP 框架 7.5 网络 部分+ 部分+ 部分+ 3.5、4.5、4.7、5.0  
CVE-2016-0500 Oracle 零售业订单代理云服务 HTTP 系统管理 7.5 网络 部分+ 部分+ 部分+ 4.0、4.1  
CVE-2016-0496 MICROS CWDirect HTTP 订单录入 4.3 网络 部分 12.5、13.0、14.0、15.0、16.0、17.0、18.0  
CVE-2016-0506 Oracle 零售业订单管理系统云服务 HTTP 订单录入 4.3 网络 部分 3.5、4.5、4.7、5.0、15.0  
CVE-2016-0435 Oracle Retail Point-of-Service 移动 POS 3.3 本地 部分+ 部分+ 13.4、14.0、14.1  
CVE-2016-0434 Oracle Retail Point-of-Service 移动 POS 1.9 本地 部分 13.4、14.0、14.1  
CVE-2016-0436 Oracle Retail Point-of-Service 移动 POS 1.9 本地 部分 13.4、14.0、14.1  
CVE-2016-0437 Oracle Retail Point-of-Service 移动 POS 1.9 本地 部分 13.4、14.0、14.1  
CVE-2016-0438 Oracle Retail Point-of-Service 移动 POS 1.9 本地 部分 13.4、14.0、14.1  
 

 


 

附录 — Oracle Java SE

 

 

Oracle Java SE 执行概要

 

该重要补丁更新包含 8 个针对 Oracle Java SE 的新安全修复程序。其中 7 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。


以下 CVSS 评分假定运行 Java 小程序或 Java Web Start 应用的用户拥有管理员权限(这是 Windows 上的典型情况)。如果用户未以管理员权限运行(Solaris 和 Linux 的典型情况),则对机密性、完整性以及可用性的对应 CVSS 评分的影响是“部分”而非“全”,降低了 CVSS 基本评分。例如,基本评分 10.0 变成 7.5。


用户应使用最新 JDK 或 JRE 7 和 8 版本中的默认 Java 插件和 Java Web Start。

 

Oracle Java SE 风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2016-0494 Java SE、Java SE Embedded 多个 2D 10.0 网络 Java SE:6u105、7u91、8u66;Java SE Embedded:8u65 参见注释 1
CVE-2015-8126 Java SE、Java SE Embedded 多个 AWT 10.0 网络 Java SE:6u105、7u91、8u66;Java SE Embedded:8u65 参见注释 1
CVE-2016-0483 Java SE、Java SE Embedded、JRockit 多个 AWT 10.0 网络 Java SE:6u105、7u91、8u66;Java SE Embedded:8u65;JRockit:R28.3.8 参见注释 2
CVE-2016-0475 Java SE、Java SE Embedded、JRockit 多个 5.8 网络 部分 部分 Java SE:8u66;Java SE Embedded:8u65;JRockit:R28.3.8 参见注释 2
CVE-2016-0402 Java SE、Java SE Embedded 多个 网络 5.0 网络 部分 Java SE:6u105、7u91、8u66;Java SE Embedded:8u65 参见注释 1
CVE-2016-0466 Java SE、Java SE Embedded、JRockit 多个 JAXP 5.0 网络 部分 Java SE:6u105、7u91、8u66;Java SE Embedded:8u65;JRockit:R28.3.8 参见注释 2
CVE-2016-0448 Java SE、Java SE Embedded 多个 JMX 4.0 网络 一次性 部分 Java SE:6u105、7u91、8u66;Java SE Embedded:8u65 参见注释 1
CVE-2015-7575 Java SE、Java SE Embedded、JRockit 多个 安全性 4.0 网络 部分 部分 Java SE:6u105、7u91、8u66;Java SE Embedded:8u65;JRockit:R28.3.8 参见注释 2
 

 

注:

  1. 仅适用于 Java 的客户端部署。该漏洞仅可通过沙盒 Java Web Start 应用和沙盒 Java 小程序利用。
  2. 适用于 Java 的客户端和服务器部署。该漏洞可通过沙盒 Java Web Start 应用和沙盒 Java 小程序利用。它还可以通过向指定组件中的 API 提供数据而利用,无需使用沙盒 Java Web Start 应用或沙盒 Java 小程序,如通过 Web 服务。

解决的其他 CVE:

  1. CVE-2015-8126 修复程序还解决了 CVE-2015-8472。

 

附录 — Oracle Sun 系统产品套件

 

 

Oracle Sun 系统产品套件执行概要

 

该重要补丁更新包含 23 个针对 Oracle Sun 系统产品套件的新安全修复程序。其中 7 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

 

Oracle Sun 系统产品套件风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2016-0440 Solaris NFS NFSv4 7.8 网络 11  
CVE-2016-0403 Solaris SMB SMB 实用程序 7.8 网络 11 参见注释 1
CVE-2016-0414 Solaris Solaris 内核区域 7.2 本地 11 参见注释 1
CVE-2015-8370 Solaris Grub2 6.9 本地 11  
CVE-2015-1793 Oracle 交换机 ES1-24 SSL/TLS 固件 6.4 网络 部分 部分 1.3.1.13 之前的版本  
CVE-2015-1793 Sun Blade 6000 以太网交换 NEM 24P 10GE SSL/TLS 固件 6.4 网络 部分 部分 1.2.2.13 之前的版本  
CVE-2015-1793 Sun Network 10GE Switch 72p SSL/TLS 固件 6.4 网络 部分 部分 1.2.2.15 之前的版本  
CVE-2016-0418 Solaris Solaris 内核区域 6.1 本地 部分 部分 11 参见注释 1
CVE-2016-0416 Solaris 多个 系统存档实用程序 5.0 网络 部分 11 参见注释 1
CVE-2016-0419 Solaris Solaris 内核区域 4.9 本地 11 参见注释 1
CVE-2016-0428 Solaris 验证的启动 4.9 本地 11 参见注释 1
CVE-2016-0465 Solaris Cluster Resource Group Manager 4.9 本地 3.3、4  
CVE-2016-0417 Solaris Cluster MySQL 高可用性 4.6 本地 部分 部分 部分 3.3、4.2  
CVE-2016-0535 Solaris RPC RPC 4.3 网络 部分 10、11  
CVE-2016-0458 Solaris 内核 DAX 4.0 本地 11  
CVE-2016-0426 Solaris Solaris 内核区域 3.6 本地 部分 部分 11 参见注释 1
CVE-2016-0493 Solaris 内核加密 3.3 本地 部分 部分 11  
CVE-2016-0406 Solaris Libc 库 3.3 本地 部分 部分 11  
CVE-2015-4922 Solaris 启动 2.1 本地 部分 11 参见注释 1
CVE-2015-4920 Solaris NDMP 备份服务 2.1 本地 部分 11 参见注释 1
CVE-2016-0405 Solaris Cluster 集群可管理性和可维护性 1.7 本地 一次性 部分 3.3、4  
CVE-2016-0618 Solaris 区域 1.4 本地 多个 部分 11  
CVE-2016-0431 Solaris Solaris 内核区域 1.2 本地 部分 11 参见注释 1
 

 

注:

  1. 不受支持的 Solaris 11.x 版本应升级至受支持的版本或补丁集。请参见 2015 年 1 月重要补丁更新中针对 Oracle Sun 系统产品套件的可用补丁文档。

 

附录 — Oracle Linux 和 Oracle 虚拟化

 

 

Oracle 虚拟化执行概要

 

该重要补丁更新包含 9 个针对 Oracle 虚拟化的新安全修复程序。其中 5 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

 

Oracle 虚拟化风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2015-7183 Oracle VM VirtualBox SSL/TLS Core 7.5 网络 部分 部分 部分 VirtualBox 4.0.36 之前的版本、4.1.44 之前的版本、4.2.36 之前的版本、4.3.34 之前的版本、5.0.10 之前的版本  
CVE-2016-0602 Oracle VM VirtualBox Windows 安装程序 6.2 本地 VirtualBox 5.0.14 之前的版本  
CVE-2015-3183 Oracle Secure Global Desktop HTTP Apache HTTP Server 5.0 网络 部分 4.63、4.71、5.2  
CVE-2016-0501 Oracle Secure Global Desktop WebSocket SGD Core 5.0 网络 部分+ 5.2  
CVE-2015-5307 Oracle VM VirtualBox Core 4.9 本地 VirtualBox 4.0.36 之前的版本、4.1.44 之前的版本、4.2.36 之前的版本、4.3.34 之前的版本、5.0.10 之前的版本  
CVE-2015-8104 Oracle VM VirtualBox Core 4.7 本地 VirtualBox 4.0.36 之前的版本、4.1.44 之前的版本、4.2.36 之前的版本、4.3.34 之前的版本、5.0.10 之前的版本  
CVE-2015-4000 Oracle Secure Global Desktop SSL/TLS OpenSSL 4.3 网络 部分 4.63、4.71、5.2  
CVE-2016-0495 Oracle VM VirtualBox 多个 Core 4.3 网络 部分+ VirtualBox 4.3.36 之前的版本、5.0.14 之前的版本  
CVE-2016-0592 Oracle VM VirtualBox Core 2.1 本地 部分 VirtualBox 4.3.36 之前的版本、5.0.14 之前的版本  
 

 

解决的其他 CVE:

  1. CVE-2015-4000 修复程序还解决了 CVE-2015-1788、CVE-2015-1791。

 

附录 — Oracle MySQL

 

 

Oracle MySQL 执行概要

 

该重要补丁更新包含 22 个针对 Oracle MySQL 的新安全修复程序。其中 1 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

 

Oracle MySQL 风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2016-0546 MySQL Server 客户端 7.2 本地 5.5.46 及早期版本、5.6.27 及早期版本、5.7.9 参见注释 1
CVE-2016-0504 MySQL Server MySQL 协议 服务器:DML 6.8 网络 一次性 5.6.27 及早期版本、5.7.9  
CVE-2016-0505 MySQL Server MySQL 协议 服务器:选项 6.8 网络 一次性 5.5.46 及早期版本、5.6.27 及早期版本、5.7.9  
CVE-2016-0594 MySQL Server MySQL 协议 服务器:DML 4.0 网络 一次性 部分+ 5.6.21 及早期版本  
CVE-2016-0595 MySQL Server MySQL 协议 服务器:DML 4.0 网络 一次性 部分+ 5.6.27 及早期版本  
CVE-2016-0503 MySQL Server MySQL 协议 服务器:DML 4.0 网络 一次性 部分+ 5.6.27 及早期版本、5.7.9  
CVE-2016-0596 MySQL Server MySQL 协议 服务器:DML 4.0 网络 一次性 部分+ 5.5.46 及早期版本、5.6.27 及早期版本  
CVE-2016-0502 MySQL Server MySQL 协议 服务器:优化器 4.0 网络 一次性 部分+ 5.5.31 及早期版本、5.6.11 及早期版本  
CVE-2016-0597 MySQL Server MySQL 协议 服务器:优化器 4.0 网络 一次性 部分+ 5.5.46 及早期版本、5.6.27 及早期版本、5.7.9  
CVE-2016-0611 MySQL Server MySQL 协议 服务器:优化器 4.0 网络 一次性 部分+ 5.6.27 及早期版本、5.7.9  
CVE-2016-0616 MySQL Server MySQL 协议 服务器:优化器 4.0 网络 一次性 部分+ 5.5.46 及早期版本  
CVE-2016-0598 MySQL Server MySQL 协议 服务器:DML 3.5 网络 一次性 部分+ 5.5.46 及早期版本、5.6.27 及早期版本、5.7.9  
CVE-2016-0600 MySQL Server MySQL 协议 服务器:InnoDB 3.5 网络 一次性 部分 5.5.46 及早期版本、5.6.27 及早期版本、5.7.9  
CVE-2016-0610 MySQL Server MySQL 协议 服务器:InnoDB 3.5 网络 一次性 部分+ 5.6.27 及早期版本  
CVE-2016-0599 MySQL Server MySQL 协议 服务器:优化器 3.5 网络 一次性 部分+ 5.7.9  
CVE-2016-0601 MySQL Server MySQL 协议 服务器:分区 3.5 网络 一次性 部分+ 5.7.9  
CVE-2016-0606 MySQL Server MySQL 协议 服务器:安全性:加密 3.5 网络 一次性 部分 5.5.46 及早期版本、5.6.27 及早期版本、5.7.9  
CVE-2016-0608 MySQL Server MySQL 协议 服务器:UDF 3.5 网络 一次性 部分+ 5.5.46 及早期版本、5.6.27 及早期版本、5.7.9  
CVE-2016-0607 MySQL Server MySQL 协议 服务器:复制 2.8 网络 多个 部分+ 5.6.27 及早期版本、5.7.9  
CVE-2015-7744 MySQL Server MySQL 协议 服务器:安全性:加密 2.6 网络 部分 5.5.45 及早期版本、5.6.26 及早期版本  
CVE-2016-0605 MySQL Server MySQL 协议 服务器:综合 2.1 网络 一次性 部分+ 5.6.26 及早期版本  
CVE-2016-0609 MySQL Server MySQL 协议 服务器:安全性:权限 1.7 网络 多个 部分+ 5.5.46 及早期版本、5.6.27 及早期版本、5.7.9  
 

 

注:

  1. 如果 MySQL 客户端使用管理员或 root 权限运行,CVSS 评分为 7.2。否则,CVSS 评分为 4.6(机密性、完整性和可用性为“部分+”)。