Oracle 重要补丁更新公告 — 2008 年 7 月

描述

重要补丁更新是针对多个安全漏洞的补丁集合。它还包含这些安全补丁因依赖关系而需要的非安全修复程序。重要补丁更新是累积式的(除以下注明外),但是每个公告只描述自上一个重要补丁更新以来添加的安全修复程序。因此,要了解有关以前累积的安全修复程序的信息,应该查看以前的重要补丁更新公告。请参见

重要补丁更新和安全警报,以获得有关 Oracle 安全性建议的信息。

考虑到成功攻击所带来的威胁,Oracle 强烈建议用户尽快应用修复程序。该重要补丁更新包含涉及所有产品的 45 个新安全修复程序。

受支持的产品和受影响的组件

该重要补丁更新解决的安全漏洞将影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在产品版本后面的 [方括号] 中。请单击 [方括号] 或可用补丁表中的链接,查看这些补丁的文档。

类别 I

首选支持或扩展支持(位于 Oracle 生命周期策略下)中的产品版本:

• Oracle 数据库 11g,版本 11.1.0.6     [ 数据库 ]
• Oracle 数据库 10g 第 2 版,版本 10.2.0.2、10.2.0.3、10.2.0.4     [ 数据库 ]
• Oracle 数据库 10g,版本 10.1.0.5     [ 数据库 ]
• Oracle 数据库 9i 第 2 版,版本 9.2.0.8、9.2.0.8DV     [ 数据库 ]
• Oracle 内存数据库 TimesTen 版本 7.0.3.0.0     [ 数据库 ]
• Oracle 应用服务器 10g 第 3 版 (10.1.3),版本 10.1.3.1.0、10.1.3.3.0     [ 应用服务器 ]
• Oracle 应用服务器 10g 第 2 版 (10.1.2),版本 10.1.2.2.0、10.1.2.3.0     [ 应用服务器 ]
• Oracle 应用服务器 10g (9.0.4),版本 9.0.4.3     [ 应用服务器 ]
• Oracle Hyperion BI Plus 版本 9.2.0.3、9.2.1.0 和 9.3.1.0     [ 应用服务器 ]
• Oracle Hyperion Performance Suite 版本 8.3.2.4、8.5.0.3     [ 应用服务器 ]
• Oracle 电子商务套件第 12 版,版本 12.0.4     [ 电子商务套件 ]
• Oracle 电子商务套件第 11i 版,版本 11.5.10.2     [ 电子商务套件 ]
• Oracle 企业管理器数据库控制 11i 版本 11.1.0.6     [ 企业管理器 ]
• Oracle 企业管理器数据库控制 10g 第 2 版,版本 10.2.0.2、10.2.0.3、10.2.0.4     [ 企业管理器 ]
• Oracle 企业管理器数据库控制 10g 第 1 版,版本 10.1.0.5     [ 企业管理器 ]
• Oracle 企业管理器网格控制 10g 第 1 版,版本 10.1.0.5、10.1.0.6     [ 企业管理器 ]
• Oracle PeopleSoft Enterprise PeopleTools 版本 8.48.17、8.49.11     [ PeopleSoft/JDE ]
• Oracle PeopleSoft Enterprise CRM 版本 8.9、9.0     [ PeopleSoft/JDE ]
• Oracle WebLogic Server(以前为 BEA WebLogic Server) 10.0(通过 MP1 发布)     [ BEA ]
• Oracle WebLogic Server(以前为 BEA WebLogic Server)9.0、9.1、9.2(通过 MP3 发布)     [ BEA ]
• Oracle WebLogic Server(以前为 BEA WebLogic Server)8.1 (通过 SP6 发布)     [ BEA ]
• Oracle WebLogic Server(以前为 BEA WebLogic Server)7.0(通过 SP7 发布)     [ BEA ]
• Oracle WebLogic Server(以前为 BEA WebLogic Server)6.1(通过 SP7 发布)     [ BEA ]

类别 II

与类别 I 中所列产品捆绑在一起的产品和组件。
该类别中的产品不受该重要补丁更新所包含的修复程序的影响。

类别 III

单独安装不受支持但与类别 I 中所列产品一同安装可获支持的产品:

• Oracle 数据库 9i,版本 9.0.1.5 FIPS+     [ 应用服务器 ]
• Oracle 应用服务器 9i 第 1 版,版本 1.0.2.2     [ 电子商务套件 ]

类别 III 中的产品只有在作为类别 I 中产品的一部分进行安装、并完全通过了受支持的配置和环境测试后,相应的补丁才可用。请参阅每种产品的文档,以了解有关补丁的支持与可用性的具体细节。


可用补丁表与风险表

更新中的 Oracle 数据库、Oracle 应用服务器、Oracle 企业管理器网格控制、Oracle 电子商务套件应用程序(仅第 12 版)、JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft Enterprise Portal Applications、PeopleSoft Enterprise PeopleTools 及 Siebel Enterprise 补丁均是累积式的;重要补丁更新中包含的任何产品补丁都包含之前的重要补丁更新中针对该产品的修复程序。

Oracle 电子商务套件应用程序 11i 版的补丁不是累积式的,因此 Oracle 电子商务套件应用程序客户如果要应用先前的安全性修复程序,应到之前的重要补丁更新中查找。Oracle 协作套件补丁是累积式的,它包括在 2007 年 7 月的重要补丁更新中提供的修复程序。从 2007 年 7 月的重要补丁更新开始,Oracle 协作套件安全修复程序将使用一次性补丁基础架构提供,Oracle 通常使用该基础架构为客户提供单个的错误修复程序。BEA 产品的补丁不是累积式的(除非另有说明),因此 BEA 客户应参考以前的安全公告以确定要应用的先前的安全修复程序。

对于所管理的每个 Oracle 产品,请在文档中查阅下表中提到的可用补丁信息和安装说明。有关与该重要补丁更新相关的 Oracle 产品文档概述,请参阅 2008 年 7 月 Oracle 重要补丁更新文档概述 MetaLink 说明 605152.1

产品 风险表 可用补丁和安装信息
Oracle 数据库 附录 A — Oracle 数据库风险表 2008 年 7 月 的重要补丁更新中针对 Oracle 数据库和融合中间件产品的可用信息,MetaLink 说明 579278.1
Oracle 应用服务器 附录 B — Oracle 应用服务器风险表 2008 年 7 月 的重要补丁更新中针对 Oracle 数据库和融合中间件产品的可用信息,MetaLink 说明 579278.1
Oracle 协作套件 参见 重要补丁更新公告 — 2008 年 1 月了解针对 Oracle 协作套件修复的最新漏洞集。 重新补丁更新公告 — 2008 年 1 月
Oracle 电子商务套件和应用程序 附录 D — Oracle 电子商务套件和应用程序风险表 电子商务套件重要补丁更新注意事项,MetaLink 说明 605117.1
Oracle 企业管理器 附录 E — 企业管理器风险表 2008 年 7 月 的重要补丁更新中针对 Oracle 数据库和融合中间件产品的可用信息,MetaLink 说明 579278.1
Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 附录 F — Oracle PeopleSoft 和 JD Edwards Applications 风险表 Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne Advisory
Oracle Siebel Enterprise 参见 重要补丁更新公告 — 2008 年 4 月了解针对 Siebel 产品修复的最新漏洞集。 重新补丁更新公告 — 2008 年 4 月
Oracle WebLogic Server 附录 H — BEA 产品套件风险表 BEA 产品安全公告


 

风险表内容



风险表只列出与该公告有关的补丁新修复的安全漏洞。之前的安全性修复程序的风险表包含在之前的重要补丁更新公告中。

该重要补丁更新提出的几个漏洞影响着多个产品。同一个漏洞在所有风险表中显示时使用相同的 漏洞号斜体 表明其他产品领域中包含的代码中的漏洞。

安全漏洞使用 CVSS 2.0 版进行评估(请参阅 Oracle CVSS 评估)。Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及成功利用的可能结果的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析其自己的风险。出于策略方面的原因,Oracle 不会透露有关可能会导致漏洞被成功利用的利用条件或结果的详细信息。Oracle 不提供除 CPU 或安全警报通知、可用补丁表、自述文件和常见问题解答所提供信息以外的其他具体漏洞信息。Oracle 不向个别客户提供有关 CPU 或安全警报的预先通知。最后,Oracle 不会针对产品漏洞发布可利用的入侵代码或“验证性”代码。

从 2008 年 7 月的重要补丁更新开始,Oracle 在风险表中将不再使用 Oracle 专用标识符,而改用常见漏洞和披露 ( CVE) 标识符来标识漏洞(漏洞号)(参见常见问题解答)。常见漏洞和披露维护公开的已知安全漏洞的 CVE 标识符的字典。

变通方法

考虑到成功攻击所带来的威胁,Oracle 强烈建议用户尽快应用修复程序。如果不应用 CPU 修复程序,则无法通过限制攻击所需的网络协议来降低成功攻击的风险。对于需要特定权限或者需要访问特定程序包的攻击,删除无特权用户的权限或者使其无法访问这些程序包可能有助于降低成功攻击的风险。这两种方法都有可能损害应用程序功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。

不受支持的产品和不受支持的版本

不受支持的产品和版本没有测试过是否存在该重要补丁更新提出的安全漏洞。但是,早期的受影响版本的补丁集也可能会受这些安全漏洞的影响。

不再为生命周期支持策略的首选支持或扩展支持阶段中不再涵盖的产品版本提供重要补丁更新补丁。我们建议客户升级至最新的受支持 Oracle 产品版本,以获取补丁。

扩展支持阶段: 已购买生命周期支持策略下的扩展支持的客户可以使用重要补丁更新补丁。客户必须具有有效的扩展支持服务合同,才能在扩展支持阶段下载重要补丁更新补丁。更新通过持续支持来支持的产品或更新任何不受支持的产品无需下载重要补丁更新补丁。

受支持的数据库、融合中间件和协作套件产品根据软件错误更正支持策略(参见 MetaLink 说明 209768.1)进行修补。有关支持策略和支持阶段的详细指南,请查看技术支持策略

Oracle 数据库和 Oracle 应用服务器的 应请求 模型

Oracle 将仅为客户要针对下一个重要补丁更新(基于历史数据)下载的平台/版本组合预先创建补丁。只要客户要求,我们将为以前固定的 Oracle 数据库和 Oracle 应用服务器的平台/版本组合创建补丁。未来版本和补丁集中将继续包含漏洞修复程序。

有关下一个重要补丁更新支持的产品、版本和平台以及“应请求”补丁的请求流程的其他详细信息,请参阅 2008 年 7 月 的重要补丁更新中针对 Oracle 数据库和融合中间件产品的可用信息MetaLink 说明 579278.1)的第 4.10 节(针对下一版 CPU 的计划补丁)。

致谢声明

该重要补丁更新提出的安全漏洞由以下人员或组织发现并向 Oracle 报告:Yocoya 的 Flavio Casetta、Application Security, Inc. 的 Esteban Martinez Fayo、SEC Consult 的 Johannes Greil、Sentrigo 的 guyp、Joxean Koret、Red Database Security 的 Alexander Kornbrust、Integrigy 的 Stephen Kost、Dave Lewis、NGS Software 的 David Litchfield、JPCERT/CC 漏洞处理小组的 Hirofumi Oka、Tanel Poder、Digital Security 的 Alexandr Polyakov、Andrea Purificato 以及 Aspect Security 的 Dave Wichers。

 

深度安全贡献者

 

Oracle 启动了一个新计划以褒奖为深度安全计划(参见常见问题解答)作出贡献的人。对于导致在以后版本中大量修改 Oracle 代码或文档但是严重程度不足以归类到重要补丁更新中的安全漏洞问题,如果有人提供相关的信息、发现或建议,则会因为深度安全作出贡献而受到褒奖。

对于这种重要补丁更新,Oracle 致谢 Red Database Security 的 Alexander Kornbrust 为深度安全计划作出贡献。

2008 年 1 月致谢名单

Oracle 致谢 Laszlo Toth 报告了一个漏洞,该漏洞已在 2008 年 1 月的重要补丁更新中得到修复(Oracle 由于疏忽没有在 1 月的重要补丁更新中对 Laszlo 进行致谢)。

重要补丁更新日程表

重要补丁更新在距 1 月、4 月、7 月和 10 月的第 15 日最近的星期二发布。接下来的四个日期为:

  • 2008 年 10 月 14 日
  • 2009 年 1 月 13 日
  • 2009 年 4 月 14 日
  • 2009 年 7 月 14 日

参考资料

修改历史


2008 年 8 月 4 日 更正了 CVE-2008-2622 的 CVSS 分数
2008 年 7 月 15 日 初始版本



附录 A — Oracle 数据库

Oracle 数据库执行概要

该重要补丁更新总共包含 14 个适用于 Oracle 数据库产品的新安全修复程序,分类如下:

  • 11 个针对 Oracle 数据库的新安全修复程序。其中不存在无需身份验证即可远程利用的数据库漏洞(即,无人可以通过网络利用这些漏洞而无需用户名和口令)。没有适用于仅具有 Oracle 数据库客户端的安装(即,没有安装 Oracle 数据库的安装)的新安全性修复程序。
  • 3 个新的针对内存数据库 Times Ten 的安全修复程序。所有这些漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。
  • 以下产品没有新的安全修复程序:
    • Oracle 安全企业搜索,它是一个独立产品,不随 Oracle 数据库一同安装。
    • Oracle Application Express(以前称为 HTML DB)。
    • Oracle Audit Vault,它是一个独立产品,不随 Oracle 数据库一同安装。
    • Oracle HTTP Server 默认情况下 Oracle 数据库 9i 第 2 版一同安装。对于 Oracle 数据库版本 10g 及以上,Oracle HTTP Server 需要单独安装(位于随附 CD 中), 不会随数据库一同安装。如果尚未应用先前的补丁,Oracle 建议将该重要补丁更新应用于受先前的重要补丁更新中修复的漏洞所影响的 Oracle HTTP Server 安装。如果没有安装 Oracle HTTP Server,该软件不会出现,并且不需要 Oracle HTTP Server 补丁。


Oracle 数据库风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2008-2607 高级队列 Oracle Net SYS.DBMS_AQELM 上的执行权限 6.5 网络 一次性 部分+ 部分+ 部分+ 9.2.0.8、9.2.0.8DV、10.1.0.5、10.2.0.4 和 11.1.0.6  
CVE-2008-2613 Database Scheduler 本地 oinstall — OS 组 6.0 本地 一次性 10.2.0.4, 11.1.0.6  
CVE-2008-2592 高级复制 Oracle Net SYS.DBMS_DEFER_SYS 上的执行权限 5.5 网络 一次性 部分+ 部分+ 9.0.1.5+、9.2.0.8、9.2.0.8DV、10.1.0.5、10.2.0.4 和 11.1.0.6 参见注释 1
CVE-2008-2604 身份验证 Oracle Net 5.5 网络 一次性 部分 部分 11.1.0.6  
CVE-2008-2591 Oracle Database Vault Oracle Net 创建公用同义词 5.5 网络 一次性 部分 部分 9.2.0.8DV、10.2.0.3 和 11.1.0.6  
CVE-2008-2600 Oracle Spatial Oracle Net MDSYS.SDO_TOPO_MAP 上的执行权限 5.5 网络 一次性 部分+ 部分+ 10.1.0.5, 10.2.0.3, 11.1.0.6  
CVE-2008-2602 数据泵 Oracle Net 创建会话、IMP_FULL_DATABASE 角色 4.6 网络 一次性 部分+ 部分+ 部分+ 10.1.0.5, 10.2.0.4, 11.1.0.6  
CVE-2008-2605 身份验证 Oracle Net 4.0 网络 一次性 部分+ 11.1.0.6  
CVE-2008-2611 Core RDBMS Oracle Net 创建表 4.0 网络 一次性 部分+ 9.0.1.5+、9.2.0.8、9.2.0.8DV、10.1.0.5、10.2.0.4 和 11.1.0.6 参见注释 1
CVE-2008-2608 数据泵 Oracle Net SYS.KUPF$FILE_INT 上的执行权限 4.0 网络 一次性 部分 10.1.0.5, 10.2.0.3  
CVE-2008-2590(企业管理器) 实例管理 HTTP 有效会话 3.5 网络 一次性 部分 10.1.0.5  
CVE-2008-2603(企业管理器) Resource Manager HTTP 有效会话 3.5 网络 一次性 部分 10.1.0.5, 10.2.0.4, 11.1.0.6  
CVE-2008-2587 高级复制 本地 对跟踪文件的读访问权限 1.5 本地 一次性 部分+ 9.0.1.5+、9.2.0.8、9.2.0.8DV、10.1.0.5 和 10.2.0.3 参见注释 1
 

 

注:

  1. 9.0.1.5+ 指的是 Oracle 数据库 9i 版本 9.0.1.5 FIPS+,该版本只能与 Oracle 应用服务器 10g (9.0.4) 版本 9.0.4.3 结合使用。


仅具有 Oracle 数据库客户端的安装

没有影响仅具有 Oracle 数据库客户端的安装(没有安装 Oracle 数据库的安装)的新漏洞。


Oracle 安全企业搜索

Oracle 安全企业搜索 10g 是一个独立的产品,它能够对整个公司的企业信息资产进行搜索。如果您没有安装 Oracle 安全企业搜索产品,它 会出现在系统上,也不需要进一步的操作。

以前的重要补丁公告中列出的安全漏洞已经在 Oracle 安全企业搜索 10g 版本 10.1.8.3 中得到了修复。使用之前的安全企业搜索版本的客户应该升级到 10.1.8.3 版或更高版本。您可以从联机文档中获得升级 Oracle 安全企业搜索的说明。本信息以及要安装的软件引用自 Oracle 技术网安全企业搜索页面。

Oracle 安全企业搜索 10g 包括 Oracle 数据库 10g 版本 10.1.0.5,而且由于影响该数据库版本的漏洞可能影响 Oracle 安全企业搜索,因此 Oracle 建议客户将 2008 年 7 月的重要补丁更新应用到嵌入式数据库。

Oracle Audit Vault

Oracle Audit Vault 10g 是一个从多个系统收集并分析审计数据的独立产品。如果您没有安装 Oracle Audit Vault 产品,它 不会出现在系统上,也不需要进一步的操作。

Oracle Audit Vault 没有在这个重要补丁更新公告中列出的安全漏洞。建议使用 Audit Vault 较低版本的客户升级到 10.2.3.0 版或更高版本。有关 Oracle Audit Vault 的信息可以在联机文档中找到。本信息以及要安装的 Audit Vault 软件引用自 Oracle 技术网的 Audit Vault 页面。

Oracle Audit Vault 10g 包括 Oracle 数据库 10g 版本 10.2.0.3,影响该数据库版本的漏洞可能会影响 Oracle Audit Vault。Oracle 建议 所有 Oracle Audit Vault 客户先查阅 2008 年 7 月 的重要补丁更新中针对 Oracle 数据库和融合中间件产品的可用信息,MetaLink 说明 579278.1,然后将 2008 年 7 月的重要补丁更新应用到嵌入式数据库。

Oracle Application Express 概述

Oracle Application Express 是一个适用于 Oracle 数据库的快速 Web 应用程序开发工具。如果没有从 Oracle 数据库 CD 集提供的附带 CD 或从 Oracle 网站下载的程序包单独安装 Oracle Application Express,则该软件不会出现在系统上且无需进一步操作。

要检查系统中是否存在 Application Express,以 SYS 身份从 SQL 提示符运行以下命令:
select username from dba_users where username in ('FLOWS_010500','FLOWS_010600','FLOWS_020000','FLOWS_020200','FLOWS_030000', 'FLOWS_030100');

如果结果是“no rows selected”,则没有安装该产品版本,无需进一步操作。其他输出表明安装了 Oracle Application Express,即使目前没有使用该软件。

升级 Oracle Application Express

以上风险表中没有列出 Oracle Application Express 安全漏洞。以前宣布的 Oracle Application Express 中的安全漏洞在版本 3.1 或更高版本中得到了修复。有关如何升级软件以安装最新版本的 Oracle Application Express 的说明,可在以下网址找到:
http://www.oracle.com/technetwork/cn/devtools/apex/download-096178-zhs.html




内存数据库 Times Ten 风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2008-2597 TimesTen Client/Server HTTP 5.0 网络 部分+ 7.0.3.0.0 参见注释 1
CVE-2008-2598 TimesTen Client/Server HTTP 5.0 网络 部分+ 7.0.3.0.0 参见注释 1
CVE-2008-2599 TimesTen Client/Server HTTP 5.0 网络 部分+ 7.0.3.0.0 参见注释 1
 

 

注:

  1. 修复程序包含在 Times Ten Server 7.0.4.0.0 版中。使用 Times Ten Server 较低版本的客户应该升级到 7.0.4.0.0 版或更高版本。

内存数据库 Times Ten 概述

内存数据库 Times Ten 是一个内存驻留关系数据库,目标是需要即时响应的实时应用程序。它被作为嵌入式数据库部署在应用程序层中。如果您未安装内存数据库 Times Ten,则无需任何其他操作。


升级内存数据库 Times Ten

内存数据库 Times Ten 的安全漏洞在版本 7.0.4.0.0 中得到了修复。所有之前的版本应升级至版本 7.0.4.0.0 或更高版本。有关如何升级软件以安装最新版本的内存数据库 Times Ten 的说明,可在以下网址找到:
http://download.oracle.com/otn_hosted_doc/timesten/703/TimesTen-Documentation/install.pdf。




附录 B — Oracle 应用服务器

Oracle 应用服务器执行概要

该重要补丁更新包含 9 个适用于 Oracle 应用服务器套件的新安全修复程序。所有这些漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。所有这些安全修复程序都不适用于仅具有客户端的安装(即,没有安装 Oracle 应用服务器的安装)。

 

与 Oracle 数据库捆绑在一起的 Oracle 应用服务器产品受 Oracle 数据库部分中所列的漏洞影响。本部分并未对其作进一步讨论,也没有将它们列在 Oracle 应用服务器风险表中。



Oracle 应用服务器风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2007-1359 Oracle HTTP Server HTTP 6.8 网络 部分 部分 部分 10.1.2.3, 10.1.3.3  
CVE-2008-2589 Oracle Portal HTTP 6.4 网络 部分+ 部分+ 9.0.4.3, 10.1.2.2, 10.1.4.1  
CVE-2008-2594 Oracle Portal HTTP 6.4 网络 部分+ 部分+ 10.1.2.3, 10.1.4.2  
CVE-2008-2609 Oracle Portal HTTP 6.4 网络 部分+ 部分+ 9.0.4.3, 10.1.2.3, 10.1.4.2  
CVE-2008-2595 Oracle Internet Directory LDAP 5.0 网络 部分+ 9.0.4.3, 10.1.2.3, 10.1.4.2  
CVE-2008-2612 Hyperion BI Plus HTTP 4.3 网络 部分 8.3.2.4, 8.5.0.3, 9.2.0.3, 9.2.1.0, 9.3.1.0 参见注释 1
CVE-2008-2614 Oracle HTTP Server HTTP 4.3 网络 部分 9.0.4.3, 10.1.2.3, 10.1.3.3  
CVE-2008-2583 Oracle Portal HTTP OracleAS 论坛 Portlet 4.3 网络 部分 无 — 查看以下注释 参见注释 2
CVE-2008-2593 Oracle Portal HTTP 4.3 网络 部分 10.1.2.3, 10.1.4.2  
 

 

注:

  1. 该漏洞还影响该产品的以前版本,即 Hyperion Performance Suite(版本 8.3.2.4 和 8.5.0.3)。注意,针对该产品的每个版本都提供有不同的补丁。
  2. 论坛 Portlet 就是一个例子,它以前可从 OTN 下载并具有该漏洞。现在,论坛 Portlet 不再提供下载,没有下载它的客户没有该漏洞。以前下载过 Portlet 的客户应该手动删除它以消除该漏洞。

仅具有 Oracle 应用服务器客户端的安装

以上漏洞无一会影响仅具有 Oracle 应用服务器客户端的安装。




附录 C — Oracle 协作套件

Oracle 协作套件执行概要

该重要补丁更新中没有 Oracle 协作套件特定的新修复程序。

该重要补丁更新不包含任何针对 Oracle 协作套件中代码内没有的 Oracle 应用服务器漏洞的新修复程序。Oracle 协作套件绑定了 Oracle 数据库。 Oracle 数据库部分中的 Oracle 数据库部分中列出的所有安全性修复程序都适用。该公告中引用的 Oracle 协作套件文档列出了 Oracle 协作套件实例上应该安装用来修复这些 Oracle 数据库问题的补丁。




附录 D — Oracle 电子商务套件和应用程序

Oracle 电子商务套件和应用程序执行概要

该重要补丁更新包含 6 个适用于应用产品套件的新安全修复程序。其中不存在无需身份验证即可远程利用的漏洞(即,无人可以通过网络利用这些漏洞而无需用户名和口令)。这些安全修复程序都不适用于仅具有 Oracle 电子商务套件客户端的安装。

Oracle 电子商务套件 11i 包括 Oracle9i 应用服务器 1.0.2.2 版代码,其中包括 Oracle Reports Developer。该重要补丁更新中修复的任何 Oracle 应用服务器漏洞都不会影响该版本。

Oracle 电子商务套件产品包括一个受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库。Oracle 电子商务套件产品暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库漏洞没有列在 Oracle 电子商务套件风险表中,但是由于影响该数据库版本的漏洞可能会影响 Oracle 电子商务套件产品,因此 Oracle 建议用户将 2008 年 7 月的重要补丁更新应用到嵌入式数据库。

没有特定于 Oracle Life Sciences Applications(先前称为 Oracle Pharmaceutical Applications)的新安全修复程序。但是,Oracle Life Sciences Applications 包括需要进行修补的 Oracle 应用服务器组件和 Oracle 数据库软件。Oracle Life Sciences Applications 暴露在危险中的程度取决于所使用的 Oracle 应用服务器和 Oracle 数据库的版本。Oracle 建议客户将 2008 年 7 月的重要补丁更新应用到 Oracle Life Sciences Applications 中包括的 Oracle 数据库和 Oracle 应用服务器。请参阅 Oracle 应用服务器Oracle 数据库部分,以了解更多信息。Oracle Life Sciences Applications 客户应参阅 MetaLink 说明 605119.1,以了解有关如何将重要补丁更新应用到 Oracle 数据库和应用服务器组件的详细信息。



Oracle 电子商务套件风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2008-2596 Mobile Application Server HTTP 有效会话 5.5 网络 一次性 部分+ 部分 12.0.3  
CVE-2008-2585 Oracle Report Manager HTTP 有效会话 5.5 网络 一次性 部分 部分 12.0.4  
CVE-2008-2601 Oracle iStore HTTP 有效会话 5.5 网络 一次性 部分 部分 12.0.4  
CVE-2008-2586 Oracle Application Object Library HTTP 有效会话 4.0 网络 一次性 部分 12.0.4  
CVE-2008-2606 Oracle Application Object Library HTTP 有效会话 4.0 网络 一次性 部分 12.0.4  
CVE-2008-2610 Oracle Applications Technology Stack HTTP 有效会话 4.0 网络 一次性 部分 12.0.4  
 


附录 E — Oracle 企业管理器

Oracle 企业管理器执行概要

该重要补丁更新包含 2 个适用于企业管理器套件的新安全修复程序。其中不存在无需身份验证即可远程利用的漏洞(即,无人可以通过网络利用这些漏洞而无需用户名和口令)。   

Oracle 企业管理器 10g 网格控制包含 Oracle 数据库和 Oracle 应用服务器组件,这些组件受 Oracle 数据库Oracle 应用服务器部分中所列漏洞的影响。Oracle 企业管理器特定实例的暴露程度取决于所使用的 Oracle 数据库和 Oracle 应用服务器版本。Oracle 建议客户将 2008 年 7 月的重要补丁更新应用到嵌入式 Oracle 数据库和 Oracle 应用服务器。

Oracle 企业管理器 10g 网格控制之前的 Oracle 企业管理器版本包含 Oracle 数据库组件,这些组件受 Oracle 数据库部分中所列漏洞的影响。Oracle 企业管理器特定实例的暴露程度取决于所使用的 Oracle 数据库版本。Oracle 建议客户将 2008 年 7 月的重要补丁更新应用到嵌入式 Oracle 数据库。

Oracle 企业管理器风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2008-2590 Instance Management HTTP 有效会话 3.5 网络 一次性 部分 10.1.0.6  
CVE-2008-2603 Resource Manager HTTP 有效会话 3.5 网络 一次性 部分 无 — 查看以下注释 参见注释 1
 

 

注:

  1. 该漏洞仅影响数据库控制。不需要网格控制补丁。






附录 F — Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne

Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 执行概要

该重要补丁更新包含 7 个适用于 PeopleSoft-JDEdwards 套件的新安全修复程序。其中没有无需身份验证即可远程利用的漏洞,即不能通过网络利用这些漏洞而无需用户名和口令。所有这些修复程序都不适用于仅具有客户端的安装(即,没有安装服务器的安装)。



Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2008-2622 PeopleSoft PeopleTools HTTP 有效会话 7.5 网络 部分+ 部分+ 部分+ 8.48.17, 8.49.11  
CVE-2008-2615 PeopleSoft PeopleTools HTTP 有效会话 5.5 网络 一次性 部分+ 部分+ 8.48.17, 8.49.11  
CVE-2008-2616 PeopleSoft PeopleTools 网络 有效会话 4.9 网络 一次性 部分 部分 8.48.17, 8.49.11  
CVE-2008-2617 PeopleSoft PeopleTools HTTP 有效会话 4.9 网络 一次性 部分 部分 8.48.17, 8.49.11  
CVE-2008-2618 PeopleSoft PeopleTools HTTP 有效会话 4.9 网络 一次性 部分+ 部分+ 8.48.17, 8.49.11  
CVE-2008-2620 PeopleSoft PeopleTools 网络 有效会话 4.0 网络 一次性 部分 8.48.17, 8.49.11  
CVE-2008-2621 PeopleSoft PeopleTools HTTP 有效会话 4.0 网络 一次性 部分 8.48.17, 8.49.11  
 

附录 G — Oracle Siebel Enterprise

Oracle Siebel Enterprise 执行概要

该重要补丁更新不包含适用于 Siebel 套件的新安全修复程序。  

 



附录 H — BEA 产品套件

BEA 产品执行概要

该重要补丁更新包含 7 个适用于 BEA 产品套件的新安全修复程序。其中 4 个漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。   

 





BEA 产品套件风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2008-2579 适用于 Apache、Sun 和 IIS web 服务器的 WebLogic Server 插件 HTTP Apache、Sun 或 IIS 6.8 网络 部分 部分 部分 10.0 MP1, 9.2 MP3, 9.1, 9.0, 8.1 SP6, 7.0 SP7, 6.1 SP7 参见注释 1
CVE-2008-2581 WebLogic Server HTTP UDDI Explorer 5.1 网络 部分+ 部分+ 部分+ 10.0 MP1, 9.2 MP3, 9.1, 9.0, 8.1 SP6, 7.0 SP7 参见注释 1
CVE-2008-2582 WebLogic Server HTTP 5.0 网络 部分+ 10.0 MP1, 9.2 MP3, 9.1, 9.0, 8.1 SP6, 7.0 SP7 参见注释 1
CVE-2008-2577 WebLogic Server HTTP 控制台或 WLST 用户 4.6 网络 一次性 部分 部分 部分 9.2 MP1 参见注释 1
CVE-2008-2578 WebLogic Server 本地 4.3 本地 一次性 部分+ 部分+ 部分+ 10.0, 9.2 MP1 参见注释 1
CVE-2008-2576 WebLogic Server 本地 4.1 本地 一次性 部分 部分 部分 9.2, 9.1, 9.0, 8.1 SP6 参见注释 1
CVE-2008-2580 WebLogic Server HTTP 2.6 网络 部分 10.0 MP1, 9.2 MP3, 9.1, 9.0 参见注释 1
 

 

注:

  1. 按照每个 CVE 号的链接获得与相应的漏洞修复程序相关的下载、安装和其他信息: CVE-2008-2576CVE-2008-2577CVE-2008-2578CVE-2008-2579CVE-2008-2580CVE-2008-2581CVE-2008-2582
false ,,,,,,,,,,,,,,,,