Oracle 重要补丁更新公告 — 2009 年 10 月

描述

重要补丁更新是针对多个安全漏洞的补丁集合。它还包含这些安全补丁因依赖关系而需要的非安全修复程序。重要补丁更新是累积式的(除以下注明外),但是每个公告只描述自上一个重要补丁更新以来添加的安全修复程序。因此,要了解有关以前累积的安全修复程序的信息,应该查看以前的重要补丁更新公告。请参见:

重要补丁更新和安全警报,以获得有关 Oracle 安全性公告的信息。

考虑到成功攻击所带来的威胁,Oracle 强烈建议用户尽快应用修复程序。该重要补丁更新包含涉及所有产品的 38 个新安全修复程序。

即将推出的 My Oracle Support 升级通知

Oracle 的下一代支持平台 My Oracle Support 即将升级,经典的 MetaLink 将退役。My Oracle Support 将提供大量额外的特性,包括能够改善补丁管理体验的特性。因此,升级后,尝试下载 CPU 补丁的客户将看到一个新的补丁和升级界面。此外,客户需要一个用于访问 My Oracle Support 门户的 Oracle 一次性登录 (SSO) 帐户,这样便于更严格地执行针对下载的授权规则。Oracle 建议客户验证或者创建自己的 SSO 帐户并查看其支持合同,以确保在下载重要补丁更新中所述的漏洞所需的补丁是拥有对应的许可权限。要验证或创建 SSO 帐户,只需在升级前登录到 My Oracle Support/经典的 MetaLink,系统将自动提示您使用电子邮件地址验证您的 SSO 登录或创建一个新的 SSO 登录。有关 My Oracle Support 系统更新的更多信息,请参见 My Oracle Support 迁移信息页面常见问题解答

受支持的产品和受影响的组件

该重要补丁更新解决的安全漏洞将影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在产品版本后面的 [方括号] 中。请单击 [方括号] 或可用补丁表中的链接,查看这些补丁的文档。

Oracle 生命周期支持策略的首选支持或扩展支持中列出了受影响的产品版本::

• Oracle 数据库 11g,版本 11.1.0.7   [数据库]
• Oracle 数据库 10g 第 2 版,版本 10.2.0.3、10.2.0.4   [数据库]
• Oracle 数据库 10g,版本 10.1.0.5   [数据库]
• Oracle 数据库 9i 第 2 版,版本 9.2.0.8、9.2.0.8DV   [数据库]
• Oracle 应用服务器 10g 第 3 版 (10.1.3),版本 10.1.3.4.0、10.1.3.5.0   [应用服务器]
• Oracle 应用服务器 10g 第 2 版 (10.1.2),版本 10.1.2.3.0   [应用服务器]
• Oracle 业务智能企业版,版本 10.1.3.4.0、10.1.3.4.1   [应用服务器]
• Oracle 电子商务套件第 12 版,版本 12.0.6、12.1   [电子商务套件]
• Oracle 电子商务套件第 11i 版,版本 11.5.10.2   [电子商务套件]
• AutoVue,版本 19.3   [电子商务套件]
• Agile Engineering Data Management (EDM),版本 6.1   [电子商务套件]
• PeopleSoft PeopleTools 和 Enterprise Portal,版本 8.49   [PeopleSoft/JDE]
• PeopleSoft Enterprise HCM (TAM),版本 9.0   [PeopleSoft/JDE]
• JDEdward Tools,版本 8.98   [PeopleSoft/JDE]
• Oracle WebLogic Server 10.0 MP1 到 10.3   [BEA]
• Oracle WebLogic Server 9.0 GA、9.1 GA、9.2 到 9.2 MP3   [BEA]
• Oracle WebLogic Server 8.1 到 8.1 SP5   [BEA]
• Oracle WebLogic Server 7.0 到 7.0 SP6   [BEA]
• Oracle WebLogic Portal,版本 8.1 到 8.1 SP6、9.2 到 9.2 MP3、10.0 到 10.0MP1、10.2 到 10.2MP1,以及 10.3 到 10.3.1   [BEA]
• Oracle JRockit R27.60.4 和早期版本(JDK/JRE 6、5、1.4.2)   [BEA]
• Oracle Communications Order and Service Management,版本 2.8.0、6.2.0、6.3.0 和 6.3.1   [行业套件]

可用补丁表与风险表

带有累积式补丁的产品

更新中的 Oracle 数据库、Oracle 应用服务器、Oracle 企业管理器网格控制、Oracle 电子商务套件应用程序(第 12.0 版和 12.1 版)、JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft Enterprise Portal Applications、PeopleSoft Enterprise PeopleTools 和 Siebel Enterprise、Oracle 行业应用产品和 BEA 补丁均是累积式的;重要补丁更新中包括的任何产品补丁都包含之前的重要补丁更新中针对该产品的修复程序。

带有非累积式补丁的产品

Oracle 电子商务套件应用程序 11i 版的补丁不是累积式的,因此 Oracle 电子商务套件应用程序客户如果要应用先前的安全修复程序,应到之前的重要补丁更新中查找。Oracle 协作套件补丁是累积式的,它包括在 2007 年 7 月的重要补丁更新中提供的修复程序。从 2007 年 7 月的重要补丁更新开始,Oracle 协作套件安全修复程序将使用一次性补丁基础架构提供,Oracle 通常使用该基础架构为客户提供单个的错误修复程序。

对于所管理的每个 Oracle 产品,请在文档中查阅下表中提到的可用补丁信息和安装说明。有关与该重要补丁更新相关的 Oracle 产品文档概述,请参阅 2009 年 10 月重要文档更新文档概述 My Oracle Support 说明 946854.1

产品分组 风险表 可用补丁和安装信息
Oracle 数据库 附录 — Oracle 数据库风险表 2009 年 10 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 881382.1
Oracle 应用服务器 附录 — Oracle 应用服务器风险表 2009 年 10 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 881382.1
Oracle 协作套件
Beehive 协作软件		 没有针对该 CPU 的安全修复程序。
参见 附录 — 产品相关性,将补丁应用于相关产品。		 2009 年 10 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 881382.1
Oracle 电子商务套件和应用程序 附录 — Oracle 电子商务套件和应用程序风险表 2009 年 10 月 Oracle 电子商务套件重要补丁更新说明 My Oracle Support 说明 880170.1
Oracle 企业管理器 没有针对该 CPU 的安全修复程序。
参见 附录 — 产品相关性,将补丁应用于相关产品。		 2009 年 10 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 881382.1
Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 附录 — Oracle PeopleSoft 和 JD Edwards Applications 风险表 Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne Advisory
Oracle Siebel Enterprise 没有针对该 CPU 的安全修复程序。 Oracle Siebel Enterprise 支持
BEA 产品套件 附录 — BEA 产品套件风险表 2009 年 10 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 881382.1
Oracle 行业应用程序 附录 — Oracle 行业应用程序风险表 2009 年 10 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 946852.1


 

风险表内容



风险表只列出与该公告有关的补丁新修复的安全漏洞。之前的安全修复程序的风险表包含在之前的重要补丁更新公告中。

该重要补丁更新提出的几个漏洞影响着多个产品。一个影响多个产品的漏洞将在所有风险表中显示相同的漏洞号斜体 表明其他产品领域中包含的代码中的漏洞。

安全漏洞使用 CVSS 2.0 版进行评估(请参阅用于解释 Oracle 如何应用 CVSS 2.0 的 Oracle CVSS 评估系统)。Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及成功利用的可能结果的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析其自己的风险。出于策略方面的原因,Oracle 不会透露有关可能会导致漏洞被成功利用的利用条件或结果的详细信息。Oracle 不提供除 CPU 或安全警报通知、可用补丁表、自述文件和常见问题解答所提供信息以外的其他具体漏洞信息。Oracle 不向个别客户提供有关 CPU 或安全警报的预先通知。最后,Oracle 不会针对产品漏洞发布可利用的入侵代码或“验证性”代码。

变通方法

考虑到成功攻击所带来的威胁,Oracle 强烈建议用户尽快应用修复程序。如果不应用 CPU 修复程序,则无法通过限制攻击所需的网络协议来降低成功攻击的风险。对于需要特定权限或者需要访问特定程序包的攻击,删除无特权用户的权限或者使其无法访问这些程序包可能有助于降低成功攻击的风险。这两种方法都有可能损害应用程序功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。

漏掉的重要补丁更新

如前所述,Oracle 强烈建议用户尽快应用修复程序。如果客户漏掉一个或多个重要补丁更新,并且担心该 CPU 中未公布其修复程序的产品出现安全问题,请查看下面的说明以确定应执行的相关操作。

之前重要补丁更新公告中具有安全修复程序的下列产品没有新的安全修复程序:

不受支持的产品和不受支持的版本

不受支持的产品和版本没有测试过是否存在该重要补丁更新提出的安全漏洞。但是,早期的受影响的版本也可能会受这些安全漏洞的影响。因此,Oracle 建议客户将其 Oracle 产品更新到受支持的版本。

不再为生命周期支持策略的首选支持或扩展支持阶段中不再涵盖的产品版本提供重要补丁更新补丁。我们建议客户升级至最新的受支持 Oracle 产品版本,以获取补丁。

处于扩展支持阶段的产品

已购买生命周期支持策略下的扩展支持的客户可以使用重要补丁更新补丁。客户必须具有有效的扩展支持服务合同,才能在扩展支持阶段下载重要补丁更新补丁。更新通过持续支持来支持的产品或更新任何不受支持的产品无需下载重要补丁更新补丁。

受支持的数据库、融合中间件、EM 网格控制和协作套件产品根据软件错误更正支持策略(参见 My Oracle Support 说明 209768.1)进行修补。有关支持策略和支持阶段的详细指南,请查看技术支持策略

Oracle 数据库和 Oracle 应用服务器的 应请求 模型

Oracle 仅为客户要针对下一个重要补丁更新(基于历史数据)下载的平台/版本组合预先创建补丁。只要客户要求,我们将为以前固定的 Oracle 数据库和 Oracle 应用服务器的平台/版本组合创建补丁。

有关下一个重要补丁更新支持的产品、版本和平台以及“应请求”补丁的请求流程的其他详细信息,请参阅 2009 年 10 月的重要补丁更新中针对 Oracle 产品的可用补丁文档My Oracle Support 说明 881382.1)。

致谢声明

该重要补丁更新提出的安全漏洞由以下人员或组织发现并向 Oracle 报告:Imperva, Inc. 的 Yaniv Azaria;Argeniss 的 Cesar Cerrudo;Intellect 的 Deniz Cevik;Joxean Koret;iSIGHT Partners Global Vulnerability Partnership 的 Joxean Koret;Red Database Security 的 Alexander Kornbrust;NGS Software 的 David Litchfield;McAfee Avert labs 的 Ryan Permeh;Sentrigo 的 Guy Pilosof;Sentrigo 的 Aviv Pode;Digital Security 的 Alexandr Polyakov;Asseco Business Solutions 的 Pawel Romanek;Imperva, Inc. 的 Amichai Shulman;Rajat Swarup;Laszlo Toth;ACROS Security 的 Luka Treiber;McAfee Avert labs 的 Wei Wang;以及 Dennis Yurichev。

深度安全贡献者

Oracle 向这些为我们的深度安全计划作出贡献的人表示感谢(参见常见问题解答)。对于导致在以后版本中大量修改 Oracle 代码或文档但是严重程度不足以归类到重要补丁更新中的安全漏洞问题,如果有人提供相关的信息、发现或建议,则会因为深度安全作出贡献而受到褒奖。

在本次重要补丁更新中,Oracle 感谢 Imperva, Inc. 的 Yaniv Azaria 和 Sentrigo 的 Aviv Pode 对 Oracle 的深度安全计划做出的贡献。

重要补丁更新日程表

重要补丁更新通常在距 1 月、4 月、7 月和 10 月的第 15 日最近的星期二发布。接下来的四个日期为:

  • 2010 年 1 月 12 日

  • 2010 年 4 月 13 日

  • 2010 年 7 月 13 日

  • 2010 年 10 月 12 日

参考资料

修改历史


2009 年 10 月 22 日 修订版 3。通过数据库风险表的说明 1 针对 CVE-2009-1992 进行 CVSS 评分分类
2009 年 10 月 21 日 修订版 2。更新了 PeopleSoft Enterprise HCM 版本
2009 年 10 月 20 日 修订版 1 初始版本



附录 — Oracle 数据库

Oracle 数据库执行概要

该重要补丁更新包含 16 个适用于下列数据库服务器套件的新安全修复程序:

  • 15 个针对 Oracle 数据库服务器的新安全修复程序。其中 6 个漏洞无需身份验证即可被远程利用,即,无需输入用户名和口令即可通过网络利用这些漏洞。其中 1 个修复程序适用于仅客户端的安装(即,没有安装 Oracle 数据库服务器的安装)。

  • 一个针对 Oracle Application Express 的新安全修复程序。这个漏洞只有经过身份验证后才能远程利用,即可以通过网络利用这些漏洞,需要用户名和口令。  

 

Oracle 数据库风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅 风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2009-1992 Core RDBMS Oracle Net 10.0 网络 9.2.0.8、10.1.0.5、10.2.0.4 参见注释 1
CVE-2009-1979 网络身份验证 Oracle Net 10.0 网络 10.1.0.5、10.2.0.4 参见注释 2
CVE-2009-1985 网络身份验证 Oracle Net 10.0 网络 9.2.0.8、9.2.0.8DV、10.1.0.5 和 10.2.0.4 参见注释 2
CVE-2009-1007 Data Mining Oracle Net SYS.DMP_SYS
上的执行权限		 6.5 网络 一次性 部分+ 部分+ 部分+ 10.2.0.4  
CVE-2009-1994 Oracle Spatial Oracle Net MDSYS.PRVT_CMT
_CBK上的执行权限		 6.5 网络 一次性 部分+ 部分+ 部分+ 10.1.0.5  
CVE-2009-2001 PL/SQL Oracle Net 创建过程 6.5 网络 一次性 部分+ 部分+ 部分+ 10.2.0.4、11.1.0.7  
CVE-2009-1993 Application Express Oracle Net FLOWS_030000.
WWV_EXECUTE_
IMMEDIATE
上的执行权限		 5.5 网络 一次性 部分+ 部分+ 3.0.1 参见注释 3
CVE-2009-1018 工作区管理器 Oracle Net SYS.LTRIC
(WMSYS.LTRIC)
上的执行权限		 5.5 网络 一次性 部分+ 部分+ 10.2.0.4  
CVE-2009-1964 工作区管理器 Oracle Net 创建会话 5.5 网络 一次性 部分+ 部分+ 10.2.0.4  
CVE-2009-1965 网络基础层 本地登录 5.4 邻近网络 部分+ 部分+ 部分+ 9.2.0.8、10.1.0.5 参见注释 1
CVE-2009-1997 身份验证 Oracle Net 5.0 网络 部分+ 10.2.0.3、11.1.0.7  
CVE-2009-2000 身份验证 Oracle Net 5.0 网络 部分+ 11.1.0.7  
CVE-2009-1995 Advanced Queuing Oracle Net SYS.DBMS_AQ_INV
上的 执行权限		 4.9 网络 一次性 部分 部分 10.2.0.4、11.1.0.7  
CVE-2009-1991 Oracle Text Oracle Net CTXSYS.DRVXTABC
上的 执行权限		 3.6 网络 一次性 部分+ 部分+ 9.2.0.8、9.2.0.8DV、10.1.0.5 和 10.2.0.4  
CVE-2009-1971 数据泵 Oracle Net 创建会话 3.5 网络 一次性 部分+ 10.1.0.5、10.2.0.3、11.1.0.7  
CVE-2009-1972 审核 Oracle Net DBMS_SYS_SQL、
DBMS_SQL
上的执行权限		 2.1 网络 一次性 部分 9.2.0.8、9.2.0.8DV、10.1.0.5、10.2.0.4 和 11.1.0.7  
 

 

说明:

  1. 该漏洞仅影响 Windows 平台。风险表中的 CVSS 评分是针对服务器的。对于以管理权限运行的客户端,CVSS 评分变成 7.6,因为客户端的访问复杂性为“高”。如果客户端未以管理权限运行,则 CVSS 评分变成 5.1,因为机密性、完整性和可用性影响从“全”变为“部分+”。

  2. CVSS 基本评分仅对 Windows 评出 10.0 分。对于 Linux、Unix 和其他平台 CVSS 基本评分为 7.5,而且对机密性、完整性以及可用性的影响评为部分+。

  3. 请参阅 Oracle Application Express 概述部分获得其他信息。

仅具有 Oracle 数据库服务器客户端的安装

本重要补丁更新中包括的下列 Oracle 数据库服务器漏洞影响仅具有客户端的安装:CVE-2009-1992。





Oracle Application Express 概述

Oracle Application Express 是一个适用于 Oracle 数据库的快速 Web 应用程序开发工具。在 Oracle 数据库 10g 第 2 版及早期版本中, Oracle Application Express 是通过 Oracle 数据库 CD 集中的随附 CD 或从 Oracle 网站下载的程序包单独安装的。如果您尚未通过随附 CD 或从 Orace 网站下载的程序包安装 Oracle Application Express,则无需进一步的操作。从 Oracle 数据库 11g 开始, Oracle Application Express 包括在 Oracle 数据库默认安装中。

如果 Oracle 数据库主目录下安装了 Oracle Application Express,则参考 2009 年 10 月的重要补丁更新中针对 Oracle 产品的可用补丁文档,My Oracle Support 说明 881382.1 以获得需要安装的版本。



附录 — Oracle 应用服务器

Oracle 应用服务器执行概要

该重要补丁更新包含 3 个适用于 Oracle 应用服务器的新安全修复程序。其中 2 个漏洞无需身份验证即可被远程利用,即,无需输入用户名和口令即可通过网络利用这些漏洞。所有这些修复程序都不适用于仅具有客户端的安装(即,没有安装 Oracle 应用服务器的安装)。

与 Oracle 数据库捆绑在一起的 Oracle 应用服务器产品受 Oracle 数据库部分中所列的漏洞影响。本部分并未对其作进一步讨论,也没有将它们列在 Oracle 应用服务器风险表中。



Oracle 应用服务器风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅 风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2009-1999 Business Intelligence Server 企业版 HTTP 4.3 网络 部分 参见注释 1
CVE-2009-3407 Portal HTTP 4.3 网络 部分 10.1.2.3、10.1.4.2  
CVE-2009-1990 Business Intelligence 企业版 1.7 本地 一次性 部分 10.1.3.4.1  
 

 

说明:

  1. 在所有受支持的版本中得到修复。该重点补丁更新中不提供任何补丁。



附录 — Oracle 电子商务套件和应用程序

Oracle 电子商务套件和应用程序执行概要

该重要补丁更新包含 8 个适用于 Oracle 应用产品的新安全修复程序。其中 5 个漏洞无需身份验证即可被远程利用,即,无需输入用户名和口令即可通过网络利用这些漏洞。所有这些修复程序都不适用于仅客户端的安装(即,没有安装 Oracle 应用产品的安装)。


Oracle 电子商务套件产品包括受 Oracle 数据库融合中间件部分中所列漏洞影响的 Oracle 数据库和 Oracle 融合中间件组件。Oracle 电子商务套件产品暴露在危险中的程度取决于所使用的 Oracle 数据库和融合中间件版本。Oracle 数据库和融合中间件安全修复程序没有列在 Oracle 电子商务套件风险表中,但是由于影响这些版本的漏洞可能会影响 Oracle 电子商务套件产品,因此 Oracle 建议客户将 2009 年 10 月的重要补丁更新应用到 Oracle 电子商务套件的 Oracle 数据库和融合中间件组件。有关详细信息,请参阅 2009 年 10 月重要补丁更新中针对 Oracle 电子商务套件的说明 880170.1



Oracle 电子商务套件风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅 风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2009-3400 Oracle Advanced Benefits HTTP 5.5 网络 一次性 部分 部分 11.5.10.2、12.0.6、12.1.1  
CVE-2009-3392 Agile Engineering Data Management (EDM) ECI 5.4 邻近网络 部分 部分 部分 6.1.0.0  
CVE-2009-3408 Oracle Application Object Library HTTP 5.1 网络 部分+ 部分+ 部分+ 11.5.10  
CVE-2009-3395 AutoVue HTTP、TCP 5.0 网络 部分+ 19.3.2  
CVE-2009-3393 Oracle Application Object Library HTTP 4.3 网络 部分 11.5.10.2  
CVE-2009-3397 Oracle Application Object Library HTTP 4.3 网络 部分 12.0.6、12.1.1  
CVE-2009-3402 Oracle Applications Framework HTTP 2.1 网络 一次性 部分 11.5.10.2、12.0.6、12.1.1  
CVE-2009-3401 Oracle Applications Technology Stack HTTP 1.7 本地 一次性 部分+ 11.5.10.2、12.0.6、12.1.1  
 

 



附件 — Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne

Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 执行概要

该重要补丁更新包含 4 个适用于 PeopleSoft 和 JDEdwards 套件的新安全修复程序。其中不存在无需身份验证即可远程利用的漏洞(即,无人可以通过网络利用这些漏洞而无需用户名和口令)。   



Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅 风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2009-3405 JD Edwards Tools 数据库访问 4.1 邻近网络 一次性 部分 部分+ 8.98.1.4  
CVE-2009-3404 PeopleSoft PeopleTools & Enterprise Portal HTTP 有效会话 4.0 网络 一次性 部分 8.49.23  
CVE-2009-3409 PeopleSoft Enterprise HCM (TAM) HTTP 有效会话 3.6 网络 一次性 部分 部分 9.0 Bundle 10  
CVE-2009-3406 JD Edwards Tools JDENET 2.7 邻近网络 一次性 部分+ 8.98.2.1  
 

 



附录 — BEA 产品套件

BEA 产品执行概要

该重要补丁更新包含 6 个适用于 BEA 产品套件的新安全修复程序。所有这些漏洞无需身份验证即可被远程利用,即,无需输入用户名和口令即可通过网络利用这些漏洞。   

随着 2009 年 10 月重要补丁更新的推出,BEA 重要补丁更新补丁也变成累积式的了。2009 年 10 月的 BEA 重要补丁更新补丁包括来自 2009 年 7 月 的重要补丁更新的安全修复程序。BEA WebLogic Server 补丁在子组件级别(例如,WLS 控制台、Web 应用程序是子组件)是累积式的。然而,2009 年 10 月的重要补丁更新中的补丁不包括之前的所有建议(除非另行指明),因此 BEA 客户应参阅以前的安全公告以找到他们希望应用的安全修复程序。



BEA 产品套件风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅 风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2009-3403 JRockit 参见注释 1 10.0 网络 R27.60.4:JRE/JDK 1.4.2、5 和 6 参见注释 1
CVE-2009-0217 JRockit 5.0 网络 部分 R27.6.3:JRE/JDK 6 参见注释 2
CVE-2009-2625 JRockit 5.0 网络 部分 R27.60.4:JRE/JDK 5 和 6 参见注释 3
CVE-2009-2002 WebLogic Portal HTTP 4.3 网络 部分 8.1.6、9.2.3、10.0.1、10.2.1、10.3.1.0.0  
CVE-2009-3396 WebLogic Server HTTP WLS 控制台 4.3 网络 部分 9.0、9.1、9.2.3、10.0.1、10.3  
CVE-2009-3399 WebLogic Server HTTP WLS 控制台 4.3 网络 部分 7.0.6、8.1.5  
 

 

说明:

  1. 2009 年 8 月,Sun MicroSystems 发布了一个安全警报,以解决多个影响 Sun Java 运行时环境的漏洞。Oracle CVE-2009-3403 包括 Sun 警报中所有适用于 JRockit 的公告。这个漏洞的漏洞号的 CVSS 分数反映了 JRockit 中修复的最高漏洞。该分数是由美国国家漏洞数据库 (NVD) 计算得出,而不是 Oracle 计算的。JRockit 中在 CVE-2009-3403 下解决的所有公告的完整列表如下: CVE-2009-2670CVE-2009-2671CVE-2009-2672CVE-2009-2673CVE-2009-2674CVE-2009-2675CVE-2009-2676

  2. CVE-2009-0217 的分数是由 美国国家漏洞数据库 (NVD) 计算得出,而不是 Oracle 计算的。

  3. CVE-2009-2625 的分数是由 美国国家漏洞数据库 (NVD) 计算得出,而不是 Oracle 计算的。



附录 — Oracle 行业应用程序产品套件

Oracle 行业应用程序产品套件执行概要

该重要补丁更新包含 1 个适用于 Oracle 行业应用程序的新安全修复程序。该漏洞在没有进行身份验证的情况下无法被远程利用,即,如果不输入用户名和口令,将无法通过网络利用该漏洞。   



Oracle 行业应用程序风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅 风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2009-1998 Oracle Communications Order and Service Management HTTP Web 客户端 4.9 网络 一次性 部分 部分 2.8.0、6.2.0、6.3.0、6.3.1  
 

 



附件 — 产品相关性

针对 CPU 修补的 Oracle 产品相关性

此部分重点介绍了依赖于该重要补丁更新中发布的安全漏洞修复程序的 Oracle 产品。Oracle 建议客户将重要补丁更新应用到所有相关产品中。

Oracle Beehive

该重要补丁更新没有包含针对 Oracle Beehive 的新安全修复程序。Oracle Beehive 包括受 Oracle 数据库Oracle 应用服务器部分中所列漏洞影响的 Oracle 数据库和 Oracle 应用服务器组件。因此,Oracle 建议客户将 2009 年 10 月的重要补丁更新应用于 Oracle Beehive 协作软件的 Oracle 数据库和 Oracle 应用服务器组件。

Oracle 协作套件

该重要补丁更新没有包含针对 Oracle 协作套件的新安全修复程序。Oracle 协作套件包括受 Oracle 数据库Oracle 应用服务器部分中所列漏洞影响的 Oracle 数据库和 Oracle 应用服务器组件。因此,Oracle 建议客户将 2009 年 10 月的重要补丁更新应用于 Oracle 协作套件的 Oracle 数据库和 Oracle 应用服务器组件。

安全企业搜索

该重要补丁更新没有包含针对 Oracle 安全企业搜索的新安全修复程序。Oracle 安全企业搜索 10g 包括 Oracle 数据库 10g 版本 10.1.0.5,而且由于影响该数据库版本的漏洞可能影响 Oracle 安全企业搜索,因此 Oracle 建议客户将 2009 年 10 月的重要补丁更新应用到嵌入式数据库。

Oracle 企业管理器

该重要补丁更新没有包含针对 Oracle 企业管理器的新安全修复程序。 Oracle 企业管理器 10g 网格控制包含 Oracle 数据库和 Oracle 应用服务器组件,这些组件受 Oracle 数据库Oracle 应用服务器部分中所列漏洞的影响。Oracle 企业管理器特定安装的暴露程度取决于所使用的 Oracle 数据库和 Oracle 应用服务器版本。Oracle 建议客户将 2009 年 10 月的重要补丁更新应用到嵌入式 Oracle 数据库和 Oracle 应用服务器。
false ,,,,,,,,,,,,,,,,