Oracle 重要补丁更新 — 2007 年 7 月

说明

重要补丁更新是针对多个安全漏洞的补丁集合。它还包含这些安全补丁因依赖关系而需要的非安全修复程序。考虑到成功攻击会带来的威胁,Oracle 强烈建议尽快应用修复程序。该重要补丁更新包含涉及所有产品的 45 个新安全修复程序。

受支持的产品和受影响的组件

该重要补丁更新提出的安全漏洞影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在产品版本后面的 [方括号] 中。请单击 [方括号] 或可用补丁表中的链接,查看这些补丁的文档。

类别 I

首选支持或扩展支持(位于 Oracle 生命周期策略下)中的产品版本:

• Oracle 数据库 10g 第 2 版,版本 10.2.0.2、10.2.0.3     [ 数据库 ]
• Oracle 数据库 10g,版本 10.1.0.5     [ 数据库 ]
• Oracle9i 数据库第 2 版,版本 9.2.0.7、9.2.0.8、9.2.0.8DV     [ 数据库 ]
• Oracle Application Express(之前称为 HTML DB),版本 1.5 -2.2     [ Application Express 下载页面 (OTN) ]
• Oracle 安全企业搜索 10g,版本 10.1.6、10.1.8     [ 安全企业搜索 (OTN) ]
• Oracle 应用服务器 10g 第 3 版 (10.1.3),版本 10.1.3.0.0、10.1.3.1.0、10.1.3.2.0、10.1.3.3.0     [ 应用服务器 ]
• Oracle 应用服务器 10g 第 2 版 (10.1.2),版本 10.1.2.0.1 - 10.1.2.0.2、10.1.2.1.0、10.1.2.2.0     [ 应用服务器 ]
• Oracle 应用服务器 10g (9.0.4),版本 9.0.4.3     [ 应用服务器 ]
• Oracle10g 协作套件第,版本 10.1.2     [ 协作套件 ]
• Oracle 电子商务套件 11i 版,版本 11.5.8 - 11.5.10 CU2     [ 电子商务套件 ]
• Oracle 电子商务套件第 12 版,版本 12.0.0、12.0.1     [ 电子商务套件 ]
• Oracle PeopleSoft Enterprise PeopleTools 版本 8.22、8.47、8.48、8.49     [ PeopleSoft/JDE ]
• Oracle PeopleSoft Enterprise Human Capital Management 版本 8.9、9.0     [ PeopleSoft/JDE ]
• Oracle PeopleSoft Enterprise Customer Relationship Management 版本 8.9、9.0     [ PeopleSoft/JDE ]

类别 II

与类别 I 中所列产品捆绑在一起的产品和组件。
该类别中的产品不受该重要补丁更新所包含的修复程序的影响。

类别 III

单独安装不受支持但与类别 I 中所列产品一同安装可获支持的产品:

• Oracle9i 数据库,版本 9.0.1.5 FIPS+     [ 应用服务器 ]
• Oracle9i 应用服务器第 1 版,版本 1.0.2.2     [ 电子商务套件 ]

类别 III 中的产品只有在作为类别 I 中产品的一部分进行安装、并完全通过了受支持的配置和环境测试后,相应的补丁才可用。请参阅每种产品的文档,以了解有关补丁的支持与可用性的具体细节。

类别 IV

只在指定平台上受支持的产品。请查阅其他文档以获得详细信息。
该类别中的产品不受该重要补丁更新所包含的修复程序的影响。

可用补丁表与风险表

更新中的 Oracle 数据库、Oracle 应用服务器、Oracle 企业管理器网格控制、Oracle 电子商务套件应用程序(仅第 12 版)、JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft 企业门户应用程序以及 PeopleSoft Enterprise PeopleTools 补丁均是累积式的;每一期重要补丁更新都包含之前的重要补丁更新中的修复程序。

Oracle 电子商务套件应用程序 11i 版的补丁不是累积式的,因此 Oracle 电子商务套件应用程序客户如果要应用先前的安全性修复程序,应到之前的重要补丁更新中查找。Oracle 协作套件补丁是累积式的并包括在 2007 年 4 月的重要补丁更新中提供的修复程序。从 2007 年 7 月的重要补丁更新开始,Oracle 协作套件安全性修复程序将使用一次性补丁基础架构提供, Oracle 通常使用该基础架构将单个错误修复程序提供给客户。

对于所管理的每个 Oracle 产品,请在文档中查阅下表中提到的可用补丁信息和安装说明。有关与该重要补丁更新相关的 Oracle 产品文档概述,请参阅 2007 年 7 月 Oracle 重要补丁更新文档概述 MetaLink 说明 432868.1

产品 风险表 可用补丁和安装信息
Oracle 数据库 附录 A — Oracle 数据库风险表 针对 Oracle 服务器和中间件产品的可用重要补丁更新,MetaLink 说明 432873.1
Oracle 应用服务器 附录 B — Oracle 应用服务器风险表 针对 Oracle 服务器和中间件产品的可用重要补丁更新,MetaLink 说明 432873.1
Oracle 协作套件 附录 C — Oracle 协作套件风险表 针对 Oracle 服务器和中间件产品的可用重要补丁更新,MetaLink 说明 432873.1
Oracle 电子商务套件和应用程序 附录 D — Oracle 电子商务套件和应用程序风险表 电子商务套件重要补丁更新注意事项,MetaLink 说明 432882.1
Oracle 企业管理器 附录 E — 企业管理器风险表 针对 Oracle 服务器和中间件产品的可用重要补丁更新,MetaLink 说明 432873.1
Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 附录 F — Oracle PeopleSoft 和 JD Edwards Applications 风险表 Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne Advisory


风险表内容

风险表只列出与该公告有关的补丁新修复的安全漏洞。之前的安全性修复程序的风险表包含在之前的重要补丁更新公告中。

该重要补丁更新提出的几个漏洞影响着多个产品。同一个漏洞在所有风险表中显示时使用相同的漏洞号斜体 表明其他产品领域中包含的代码中的漏洞。

Oracle 对通过重要补丁更新 (CPU) 或安全警报提出的各个安全漏洞进行了分析。安全性分析的结果反映在相关文档中,例如,漏洞类型、利用该漏洞所需的条件以及成功利用该漏洞的后果。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析其自己的风险。出于策略方面的原因,Oracle 不会透露有关可能会导致漏洞被成功利用的利用条件或结果的详细信息。Oracle 不提供除 CPU 或安全警报通知、可用补丁表、自述文件和常见问题解答所提供信息以外的其他具体漏洞信息。Oracle 不向个别客户提供有关 CPU 或安全警报的预先通知。最后,Oracle 不会针对产品漏洞发布可利用的入侵代码或“验证性”代码。

变通方法

考虑到成功攻击会带来的威胁,Oracle 强烈建议尽快应用修复程序。根据您的环境,可以通过限制攻击所需的网络协议来降低成功攻击的风险。对于需要特定权限或者需要访问特定程序包的攻击,删除无特权用户的权限或者使其无法访问这些程序包可能有助于降低成功攻击的风险。这两种方法都有可能损害应用程序功能,因此 Oracle 强烈建议在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。

不受支持的产品和不受支持的版本

不受支持的产品和版本没有测试过是否存在该重要补丁更新提出的安全漏洞。但是,早期的受影响版本的补丁集也可能会受这些安全漏洞的影响。

将不为生命周期支持策略的首选支持或扩展支持阶段中不再涵盖的产品版本提供重要补丁更新补丁。我们建议客户升级至最新的受支持 Oracle 产品版本,以获取补丁。

扩展支持阶段: 已购买生命周期支持策略下的扩展支持的客户可以使用重要补丁更新补丁。客户必须具有有效的扩展支持服务合同才能下载重要补丁更新补丁。更新通过持续支持来支持的程序或更新任何不受支持的程序无需下载重要补丁更新补丁。

受支持的产品按照 CPU 常见问题解答文档(参考部分中提供有链接)中概述的重要补丁更新策略进行修补。有关支持策略和支持阶段的详细指南,请查看技术支持策略

Oracle 数据库和 Oracle 应用服务器的 应请求 模式通告

为了向客户提供增强的支持,Oracle 将仅为客户要针对下一个重要补丁更新(基于历史数据)下载的平台/版本组合预先创建补丁。从该重要补丁更新开始,只要客户要求,我们将为以前固定的 Oracle 数据库和 Oracle 应用服务器的平台/版本组合创建补丁。未来版本和补丁集中将继续包含漏洞修复程序。

有关下一个重要补丁更新支持的产品、版本和平台以及“应请求”补丁的请求流程的其他详细信息,请参阅 针对 Oracle 服务器和中间件产品的可用重要补丁更新信息MetaLink 说明 432873.1)的第 4.10 节(针对下一版 CPU 的计划补丁)。

致谢

该重要补丁更新提出的安全漏洞由以下人员或组织发现并向 Oracle 报告:Application Security, Inc. 的 Esteban Martinez Fayo、Integrigy 的 Jack Kanter 和 Stephen Kost、Imperva 的 Guy Karlebach、Joxean Koret、Red Database Security GmbH 的 Alexander Kornbrust、Michael Krax 以及 Next Generation Security Software Ltd. 的 David Litchfield 和 Paul M. Wright。

重要补丁更新日程表

重要补丁更新在距 1 月、4 月、7 月和 10 月的第 15 日最近的星期二发布。接下来的四个日期为:

  • 2007 年 10 月 16 日
  • 2008 年 1 月 15 日
  • 2008 年 4 月 15 日
  • 2008 年 7 月 15 日

参考

修改历史

2007 年 7 月 17 日 初始版本



附录 A — Oracle 数据库

Oracle 数据库执行概要

该重要补丁更新总共包含 19 个适用于 Oracle 数据库产品的新安全修复程序,分类如下:

  • 17 个针对 Oracle 数据库的新安全修复程序。其中 2 个漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。没有适用于仅具有 Oracle 数据库客户端的安装(即,没有安装 Oracle 数据库的安装)的新安全性修复程序。
  • 没有针对 Oracle 安全企业搜索的新安全修复程序,该修复程序是一个独立产品, 不随 Oracle 数据库一同安装。然而,客户应该升级到最新版 Oracle 安全企业搜索以便在基础产品中安装安全性修复程序。
  • 没有针对 Oracle Audit Vault 的新安全修复程序,该修复程序是一个独立产品, 不随 Oracle 数据库一同安装。然而,客户应该升级到最新版 Oracle Audit Vault 以便在基础产品中安装安全性修复程序。
  • 没有适用于 Oracle HTTP Server 的新安全修复程序。如果尚未应用先前的补丁,Oracle 建议将该重要补丁更新应用于受先前的重要补丁更新中修复的漏洞所影响的 Oracle HTTP Server 安装。Oracle HTTP Server 是一个可选产品, 不是 Oracle 数据库的默认安装项。如果没有安装此项,该软件不会出现,并且不需要 Oracle HTTP Server 补丁。Oracle 数据库版本直至并包括 Oracle 数据库 9i 第 2 版都允许将 Oracle HTTP Server 作为数据库的可选组件进行安装。Oracle 数据库版本 10g 以及更高版本将 Oracle HTTP Server 包含在附带的 CD 中。
  • 一个针对 Oracle Internet Directory 的新安全性修复程序。Oracle Internet Directory 是 Oracle 数据库 9i 第 2 版中一个可选产品,默认情况下 不随 Oracle 数据库一同安装。如果没有安装此项,该软件不会出现,并且不需要 Oracle Internet Directory 补丁。
  • 一个针对 Oracle Application Express(以前称为 HTML DB)的新安全性修复程序。Oracle Application Express 是一个可选产品, 不随 Oracle 数据库一同安装。如果尚未安装该软件(一些 Oracle 数据库版本的 Oracle 数据库 CD 集中的附带 CD 上提供了该软件),则该软件不会出现且不需要这些补丁。

Oracle 数据库风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 1.0 版风险(参阅 394486.1 最早受影响的支持版本 最后受影响的补丁集(每个受支持版本)
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
DB01 JavaVM Oracle Net DBMS_JAVA_TEST 上的执行权限 4.2 远程 需要 部分+ 部分+ 部分+ 10g 10.1.0.5, 10.2.0.3
DB02 Advanced Queuing Oracle Net SYS.DBMS_PRVTAQIS上 的执行权限 2.8 远程 需要 部分 部分 9i 9.0.1.5+, 9.2.0.7, 10.1.0.5
DB03 DataGuard Oracle Net SYS.DBMS_DRS 上的执行权限 2.8 远程 需要 部分 部分+ 9i 9.0.1.5+, 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.3
DB04 Oracle 数据挖掘 Oracle Net DMSYS.DMP_SYS 上的执行权限 2.8 远程 需要 部分 部分 无 — 查看以下注释 无 — 查看以下注释
DB05 Oracle Text Oracle Net 创建会话 2.8 远程 需要 部分 部分 10g 10.1.0.5
DB06 Oracle Text Oracle Net CTXSYS.DRVXMD 上的执行权限 2.8 远程 需要 部分 部分 10g 10.1.0.5
DB07 Oracle Text Oracle Net CTXSYS.DRI_MOVE_CTXSYS 上的执行权限 2.8 远程 需要 部分 部分 10g 10.1.0.5
DB08 Oracle Text Oracle Net CTXSYS.DRVXMD 上的执行权限 2.8 远程 需要 部分 部分 10g 10.1.0.5
DB09 Oracle Text Oracle Net 创建会话 2.8 远程 需要 部分 部分 10g 10.1.0.5, 10.2.0.3
DB10 PL/SQL Oracle Net SYS.DBMS_STANDARD 上的执行权限 2.8 远程 需要 部分 部分 9i 9.0.1.5+, 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.3
DB11 规则管理器 Oracle Net EXFSYS.DBMS_RLMGR_UTL 上的执行权限 2.8 远程 需要 部分 部分 10gR2 10.2.0.3
DB12 Spatial Oracle Net MDSYS.MD 上的执行权限 2.8 远程 需要 部分 部分+ 9i 9.0.1.5+, 9.2.0.7, 10.1.0.5
OID01 Oracle Internet Directory LDAP 2.3 远程 不需要 部分 9iR2 9.2.0.8, 9.2.0.8DV
DB13 程序接口 Oracle Net 2.3 远程 不需要 部分+ 10gR2 10.2.0.3
DB14 JavaVM Oracle Net 2.2 远程 需要 部分 部分 10g 10.1.0.5
DB15 Spatial Oracle Net MDSYS.SDO_GEOR_INT 上的执行权限 1.4 远程 需要 部分 10g 10.1.0.5, 10.2.0.3
DB16 Spatial Oracle Net MDSYS.RTREE_IDX 上的执行权限 1.4 远程 需要 部分 9i 9.0.1.5+, 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.3
DB17 SQL 编译器 Oracle Net 创建会话 1.4 远程 需要 部分 9i 9.0.1.5+, 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.3

注意:

  • 针对 DB04 的修复程序包括在所有受支持的产品中。请参阅不受支持的产品和不受支持的版本部分,以了解有关受支持产品的更多信息。使用不受支持的版本的客户应该升级到受支持的版本。
  • 9.0.1.5+ 指的是 Oracle 数据库 9i 版本 9.0.1.5 FIPS+,该版本仅与 Oracle 应用服务器 10g (9.0.4) 版本 9.0.4.3 结合使用。

仅具有 Oracle 数据库客户端的安装

本重要补丁更新提出的新的数据库漏洞不影响仅具有 Oracle 数据库客户端的安装(没有安装 Oracle 数据库的安装)。


Oracle 安全企业搜索

Oracle 安全企业搜索 10g 是一个独立的产品,它能够对整个公司的企业信息资产进行搜索。如果您没有安装 Oracle 安全企业搜索产品,它 会出现在系统上,也不需要进一步的操作。

在前面的重要补丁更新公告中列出的 Oracle 安全企业搜索安全性漏洞在 Oracle 安全企业搜索 10g 版本 10.1.8.1 中得到了修复。使用之前的安全企业搜索版本的客户应该升级到 10.1.8.1 版。您可以从联机文档中获得升级 Oracle 安全企业搜索的说明。本信息以及要安装的软件引用自 Oracle 技术网安全企业搜索页面,网址为:
http://www.oracle.com/technetwork/cn/search/oses/index-096014-zhs.html

Oracle 安全企业搜索 10g 包括 Oracle 数据库 10g 版本 10.1.0.5,而且由于影响该数据库版本的漏洞可能影响 Oracle 安全企业搜索,因此 Oracle 建议客户将 2007 年 7 月的重要补丁更新应用到嵌入式数据库。


Oracle Audit Vault

Oracle Audit Vault 10g 是一个从多个系统收集并分析审计数据的独立产品。如果您没有安装 Oracle Audit Vault 产品,它 不会出现在系统上,也不需要进一步的操作。

Oracle Audit Vault 是一个新产品,没有在这个或以前的重要补丁更新公告中列出的安全漏洞。Oracle Audit Vault 10g 包括 Oracle 数据库 10g 版本 10.2.0.3,而且由于影响该数据库版本的漏洞可能影响 Oracle Audit Vault,因此 Oracle 建议客户将 2007 年 7 月的重要补丁更新应用到嵌入式数据库。有关 Oracle Audit Vault 的信息可以在联机文档中找到。本信息以及要安装的软件引用自 Oracle 技术网 Audit Vault 页面,网址为:
http://www.oracle.com/technetwork/cn/database/audit-vault/index-087526-zhs.html


Oracle Application Express(之前称为 Oracle HTML DB)风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 1.0 风险(参阅 394486.1 最早受影响的支持版本 最后受影响的补丁集(每个受支持版本)
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
APEX01 Application Express HTTP Application Express 开发人员帐户 4.2 远程 需要 部分 部分 部分 2.2.0.00.32 3.0.0.00.20

Oracle Application Express(之前称为 Oracle HTML DB)概述

Oracle Application Express(之前称为 Oracle HTML DB)是一个适用于 Oracle 数据库的快速 Web 应用程序开发工具。如果没有从 Oracle 数据库 CD 集提供的附带 CD 或从 Oracle 网站下载的程序包单独安装 Oracle Application Express,则该软件不会出现在系统上且无需进一步操作。

数据库 10g 的附带 CD 与 HTML DB(目前称为 Application Express)版本 1.5 一起提供。
数据库 10g 第 2 版的附带 CD 与 HTML DB(目前称为 Application Express)版本 1.6.1 一起提供。

要检查系统中是否存在 Application Express,以 SYS 身份从 SQL 提示符运行以下命令:
select username from dba_users where username in ('FLOWS_010500','FLOWS_010600','FLOWS_020000','FLOWS_020200','FLOWS_030000');

如果结果是“no rows selected”,则没有安装该产品版本,无需进一步操作。其他输出表明安装了 Oracle Application Express,即使目前没有使用该软件。

升级 Oracle Application Express

上述风险表中列出的 Oracle Application Express 安全性漏洞已经在 3.0 版中得到了修复。所有之前的版本都应直接升级至 3.0.1 版。有关升级的说明以及安装 Oracle Application Express 3.0.1 版的软件,位于以下位置:
http://www.oracle.com/technetwork/cn/devtools/apex/download-096178-zhs.html




附录 B — Oracle 应用服务器

Oracle 应用服务器执行概要

该重要补丁更新包含 4 个适用于 Oracle 应用服务器的新安全修复程序。其中 3 个漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。2 个适用于仅具有客户端的安装(即,没有安装 Oracle 应用服务器的安装)的新的安全性修复程序。

与 Oracle 数据库捆绑在一起的 Oracle 应用服务器产品受 Oracle 数据库部分中所列的漏洞影响。本部分并未对其作进一步讨论,也没有将它们列在 Oracle 应用服务器风险表中。

Oracle 应用服务器风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 1.0 风险(参阅 394486.1 最早受影响的支持版本 最后受影响的补丁集(每个受支持版本)
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
OID01 Oracle Internet Directory LDAP 2.3 远程 不需要 部分+ 9.0.4 9.0.4.3, 10.1.2.0.2, 10.1.2.2
JDEV01 Oracle Jdeveloper HTTP 使用 JBO.KEY 自定义应用程序 2.3 远程 不需要 部分+ 10.1.2 10.1.2.2
AS01 Oracle 一次性登录 HTTP 2.3 远程 不需要 部分 9.0.4 9.0.4.3, 10.1.2.0.2
JDEV02 Oracle JDeveloper HTTP 使用 JBO.SERVER 自定义应用程序 1.3 本地 不需要 部分 10.1.2 10.1.2.2, 10.1.3.1

注意:

  • JDEV01 和 JDEV02 提出的漏洞只影响使用特定功能的自定义应用程序。

Oracle JDeveloper 漏洞修复程序

可通过 Oracle 应用服务器分发或作为单个分发从 Oracle 技术网获得 JDeveloper。有关可通过 Oracle 应用服务器分发获得的 CPU 漏洞修复程序,请参阅 针对 Oracle 服务器和中间件产品的重要补丁更新可用性信息MetaLink 说明 432873.1)。

要获取包含 JDEV01 和 JDEV02 的漏洞修复程序的 JDeveloper 的独立分发,从 Oracle 技术网下载 10.1.3.2.0 版或更高版本的 JDeveloper。


仅具有 Oracle 应用服务器客户端的安装

该重要补丁更新提出的 2 个新漏洞影响仅具有 Oracle JDeveloper 客户端的安装。它们是上述风险表中的 JDEV01 和 JDEV02。所有安装了 Oracle JDeveloper 组件的计算机应该均已应用了该重要补丁更新。




附录 C — Oracle 协作套件

Oracle 协作套件执行概要

该重要补丁更新中有 1 个特定于 Oracle 协作套件的新修复程序。该漏洞无需身份验证即可远程利用,即可以通过网络利用该漏洞而无需用户名和口令。它适用于仅具有 Oracle 协作套件客户端的安装。

该重要补丁更新包含 4 个 Oracle 协作套件中的代码中出现的 Oracle 应用服务器漏洞的修复程序。

Oracle 协作套件绑定了 Oracle 数据库。 Oracle 数据库部分中的 Oracle 数据库部分中列出的所有安全性修复程序都适用。该公告中引用的 Oracle 协作套件文档列出了 Oracle 协作套件实例上应该安装用来修复这些 Oracle 数据库问题的补丁。

Oracle 协作套件风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 1.0 风险(参阅 394486.1 最早受影响的支持版本 最后受影响的补丁集(每个受支持版本)
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
OCS01 即时消息/Presence HTTP 有效会话 2.3 远程 不需要 部分 10.1.2 10.1.2
OID01 Oracle Internet Directory LDAP 2.3 远程 不需要 部分+ 10.1.2 10.1.2
AS02 Oracle 一次性登录 HTTP 2.3 远程 不需要 部分 10.1.2 10.1.2
JDEV01 Oracle Jdeveloper HTTP 使用 JBO.KEY 自定义应用程序 2.3 远程 不需要 部分+ 10.1.2 10.1.2
JDEV02 Oracle JDeveloper HTTP 使用 JBO.SERVER 自定义应用程序 1.3 本地 不需要 部分 10.1.2 10.1.2



附录 D — Oracle 电子商务套件和应用程序

Oracle 电子商务套件和应用程序执行概要

该重要补丁更新包含 14 个适用于 Oracle 电子商务套件的新安全修复程序。其中 6 个漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。

Oracle 电子商务套件 11i 包括 Oracle9i 应用服务器 1.0.2.2 版代码,其中包括 Oracle Reports Developer。该重要补丁更新中修复的 Oracle 应用服务器漏洞不会影响该版本。

Oracle 电子商务套件产品包括一个受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库。Oracle 电子商务套件产品暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库漏洞没有列在 Oracle 电子商务套件风险表中,但应对其进行修补。

没有特定于 Oracle Life Sciences Applications(先前称为 Oracle Pharmaceutical Applications)的新安全修复程序。

Oracle Life Sciences Applications 包括需要进行修补的 Oracle 应用服务器组件。Oracle Life Sciences Applications 暴露在危险中的程度取决于所使用的 Oracle 应用服务器版本。请参阅 Oracle 应用服务器部分,以了解更多信息。

Oracle Life Sciences Applications 包括一个受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库软件。Oracle Life Sciences Applications 暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库漏洞没有列在 Oracle Life Sciences Applications 风险表中,但应对其进行修补。

Oracle Life Sciences Applications 客户应参阅 MetaLink 说明 435211.1,以获得有关安装 Oracle 应用服务器和 Oracle 数据库安全补丁的详细信息。

Oracle 电子商务套件风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 1.0 风险(参阅 394486.1 最早受影响的支持版本 最后受影响的补丁集(每个受支持版本)
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
APPS01 Oracle Customer Intelligence HTTP 4.7 远程 不需要 部分 部分 12.0.0 12.0.1
APPS02 Oracle Configurator HTTP 有效会话 4.2 远程 需要 部分 部分 部分 11.5.8 11.5.10CU2, 12.0.1
APPS03 Oracle iExpenses HTTP 有效会话 4.2 远程 需要 部分 部分 部分 11.5.8 11.5.10CU2, 12.0.1
APPS04 Oracle 应用程序对象库 HTTP 2.3 远程 不需要 部分 11.5.8 11.5.10CU2
APPS05 Oracle 应用程序对象库 HTTP 2.3 远程 不需要 部分 11.5.8 11.5.10CU2
APPS06 Oracle 应用程序对象库 HTTP 2.3 远程 不需要 部分 11.5.8 11.5.10CU2
APPS07 Oracle Customer Intelligence HTTP 有效会话 2.3 远程 不需要 部分 11.5.8 11.5.10CU2
APPS08 Oracle Payments HTTP 有效会话 2.3 远程 不需要 部分 11.5.9 11.5.10CU2
APPS09 Oracle 应用程序对象库 Oracle Net 有效会话 1.4 远程 需要 部分 11.5.8 11.5.10CU2, 12.0.1
APPS10 Oracle 人力资源 HTTP 有效会话 1.4 远程 需要 部分 11.5.8 11.5.10CU2
APPS11 Oracle iRecruitment HTTP iRecruitment 管理员 1.4 远程 需要 部分 11.5.9 11.5.10CU2
APPS12 Oracle Payables HTTP Oracle Payable 用户 1.4 远程 需要 部分 11.5.8 11.5.10CU2, 12.0.1
APPS13 Oracle Payables HTTP Oracle Payable 用户 1.4 远程 需要 部分 11.5.8 11.5.10CU2, 12.0.1
APPS14 Oracle Payables HTTP Oracle Payable 用户 1.4 远程 需要 部分 11.5.8 11.5.10CU2, 12.0.1



附录 E — Oracle 企业管理器

Oracle 企业管理器执行概要

该重要补丁更新中不包含新的 Oracle 企业管理器安全性修复程序。请参考 2007 年 4 月重要补丁更新以获取最新的 Oracle 企业管理器安全性修复程序和相关信息。

Oracle 企业管理器 10g 网格控制包含 Oracle 数据库和 Oracle 应用服务器组件,这些组件受 Oracle 数据库Oracle 应用服务器部分中所列漏洞的影响。影响 Oracle 企业管理器特定实例的 Oracle 数据库和 Oracle 应用服务器漏洞取决于所使用的 Oracle 数据库和 Oracle 应用服务器版本。有关更多信息,请参考本文档相应部分的风险表。重要补丁更新包括适用于可安装在 Oracle 企业管理器环境中的 Oracle 数据库和 Oracle 应用服务器的补丁,应该安装这些补丁。

Oracle 企业管理器 10g 网格控制之前的 Oracle 企业管理器版本包含 Oracle 数据库组件,这些组件受 Oracle 数据库部分中所列漏洞的影响。影响 Oracle 企业管理器特定实例的 Oracle 数据库漏洞取决于所使用的 Oracle 数据库版本。有关更多信息,请参考本文档相应部分的风险表。重要补丁更新包含适用于可安装在 Oracle 企业管理器环境中的 Oracle 数据库的补丁,应该安装这些补丁。



附录 F — Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne

Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 执行概要

该重要补丁更新包含 3 个针对 Oracle PeopleSoft Enterprise PeopleTools 的新的安全性修复程序、2 个针对 PeopleSoft Enterprise Customer Relationship Management 的新的安全性修复程序以及 2 个针对 PeopleSoft Enterprise Human Capital Management 的新的安全性修复程序。1 个影响 Oracle PeopleSoft Enterprise PeopleTools 的安全性漏洞无需身份验证即可远程利用,即可以通过网络利用该漏洞而无需用户名和口令。

没有影响 JD Edwards 产品的新的安全性修复程序。

Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 1.0 风险(参阅客户连接 最早受影响的支持版本 最后受影响的补丁集(每个受支持版本)
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
PSE01 PeopleTools 网络 有效会话 4.8 远程 需要 部分+ 部分+ 8.22 GA
8.47 GA
8.48 GA
8.49 GA		 8.22.15
8.47.13
8.48.10
8.49.02
PSE02 PeopleTools HTTP 有效会话 4.8 远程 需要 部分+ 部分+ 8.22 GA
8.47 GA
8.48 GA
8.49 GA		 8.22.15
8.47.13
8.48.10
8.49.02
PSE03 PeopleTools HTTP 4.7 远程 不需要 部分 部分 8.22 GA
8.47 GA
8.48 GA
8.49 GA		 8.22.15
8.47.13
8.48.10
8.49.02
PSE04 客户关系管理在线营销 HTTP 有效会话 2.8 远程 需要 部分 部分 8.9 8.9 Bundle 26
9.0 Bundle 7
PSE05 客户关系管理在线营销 HTTP 有效会话 2.8 远程 需要 部分 部分 8.9 8.9 Bundle 26
9.0 Bundle 7
PSE06 人力资本管理 本地 有效会话 2.0 本地 需要 部分 部分 8.9 GA 8.9 Bundle 11
PSE07 人力资本管理 本地 有效会话 1.0 本地 需要 部分 8.9 GA 8.9 Bundle 11
false ,,,,,,,,,,,,,,,,