Oracle 重要补丁更新公告 — 2012 年 10 月


说明

重要补丁更新 (CPU) 是针对多个安全漏洞的补丁集合。重要补丁更新补丁通常是累积式的,但是每个公告只描述自上一个重要补丁更新公告以来添加的安全修复程序。因此,要了解有关以前发布的安全修复程序的信息,应该查看以前的重要补丁更新公告。请参见:

重要补丁更新和安全警报,获得有关 Oracle 安全公告的信息。

考虑到攻击得逞所带来的威胁,Oracle 强烈建议客户尽快应用 CPU 修复程序。 该重要补丁更新包含针对下列产品系列的 109 个新的安全修复程序。

本重要补丁更新公告还提供了符合常见漏洞报告格式 (CVRF) 1.1 版的 XML 格式。有关 Oracle 使用 CVRF 的更多信息,请参阅:http://www.oracle.com/technetwork/topics/security/cpufaq-098434.html#CVRF

受影响的产品和组件

该重要补丁更新解决的安全漏洞将影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在与指定的“产品和版本”列对应的“可用补丁”列中。请单击下面的“可用补丁”列中或可用补丁表中的链接,查看这些补丁的文档。

下面是 Oracle 终身支持政策下标准支持或扩展支持所涵盖的受影响的产品版本列表:

受影响的产品和版本 可用补丁
Oracle Database 11g 第 2 版,版本 11.2.0.2、11.2.0.3 数据库
Oracle Database 11g 第 1 版,版本 11.1.0.7 数据库
Oracle Database 10g 第 2 版,版本 10.2.0.3、10.2.0.4、10.2.0.5 数据库
Oracle Fusion Middleware 11g 第 1 版,版本 11.1.1.6 融合中间件
Oracle Forms 和 Reports 11g 第 2 版,版本 11.1.2.0 融合中间件
Oracle Forms 和 Reports 11g 第 1 版,版本 11.1.1.4 融合中间件
Oracle BI Publisher,版本 10.1.3.4.2、11.1.1.5.0、11.1.1.6.0、11.1.1.6.2 融合中间件
Oracle Event Processing,版本 2.0、11.1.1.4.0、11.1.1.6.0 融合中间件
Oracle Identity Management 10g,版本 10.1.4.3 融合中间件
Oracle Imaging and Process Management,版本 10.1.3.6.0 融合中间件
Oracle JRockit,R28.20.4 及早期版本、R27.70.3 及早期版本 融合中间件
Oracle Outside In Technology,版本 8.3.7 融合中间件
Oracle WebLogic Server,版本 9.2.4.0、10.0.2.0、10.3.5.0、10.3.6.0、12.1.1.0 融合中间件
Oracle WebCenter Sites,版本 6.1、6.2、6.3.x、7、7.0.1、7.0.2、7.0.3、7.5、7.6.1、7.6.2、11.1.1.6.0 融合中间件
Oracle E-Business Suite 第 12 版,版本 12.0.6、12.1.1、12.1.2、12.1.3 E-Business Suite
Oracle E-Business Suite 第 11i 版,版本 11.5.10.2 E-Business Suite
Oracle Agile PLM For Process,版本 5.2.2、6.0.0.6.3、6.1.0.0、6.1.0.1.14 Supply Chain
Oracle Agile PLM Framework,版本 9.3.1.0、9.3.1.1 Supply Chain
Oracle Agile Product Supplier Collaboration for Process,版本 5.2.2、6.1.0.0 Supply Chain
Oracle PeopleSoft Enterprise Campus Solutions,版本 9.0 PeopleSoft
Oracle PeopleSoft Enterprise PeopleTools,版本 8.50、8.51、8.52 PeopleSoft
Oracle Siebel UI Framework,版本 8.1.1 Siebel
Oracle Central Designer,版本 1.3、1.4、1.4.2 卫生科学
Oracle Clinical/Remote Data Capture,版本 4.6.0、4.6.2 卫生科学
Oracle FLEXCUBE Direct Banking,版本 5.0.2、5.0.5、5.1.0、5.2.0、5.3.0-5.3.4、6.0.1、6.2.0、12 Oracle FLEXCUBE
Oracle FLEXCUBE Universal Banking,版本 10.0.0-10.5.0、11.0.0-11.4.0、12 Oracle FLEXCUBE
Oracle Sun 产品套件 Oracle Sun 产品套件
Oracle Secure Global Desktop,版本 4.6 Oracle Sun 产品套件
Oracle VM Virtual Box,版本 3.2、4.0、4.1 Oracle Sun 产品套件
Oracle MySQL Server,5.1.63 及早期版本、5.5.25 及早期版本 Oracle MySQL 产品套件


可用补丁表与风险表

使用累积式补丁的产品

重要补丁更新中的 Oracle 数据库、Oracle 融合中间件、Oracle Enterprise Manager Grid Control、Oracle E-Business Suite 管理软件、JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft Enterprise Portal 管理软件、PeopleSoft Enterprise PeopleTools、Siebel Enterprise、行业管理软件、FLEXCUBE、Primavera 和 Oracle VM 补丁均是累积式的。换言之,重要补丁更新中包括的任何这些产品的补丁都包含之前的重要补丁更新中针对相应产品的所有修复程序。有关累积式和非累积式补丁的详细信息,请查阅下表中各产品组的可用补丁文档。

可用补丁表

对于所管理的每个 Oracle 产品,请查阅下表中提到的有关可用补丁信息和安装说明的文档。与该重要补丁更新相关的 Oracle 产品文档概述,请参阅 2012 年 10 月重要文档更新文档概述 My Oracle Support 说明 1477727.1


产品分组 风险表 可用补丁和安装信息
Oracle 数据库 Oracle 数据库风险表 2012 年 10 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1477727.1
Oracle 融合中间件 Oracle 融合中间件风险表 2012 年 10 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1477727.1
Oracle Enterprise Manager Oracle 数据库风险表 2012 年 10 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1477727.1
Oracle 管理软件 — E-Business Suite Oracle 管理软件,E-Business Suite 风险表 2012 年 10 月 Oracle E-Business Suite 重要补丁更新说明 My Oracle Support 说明 1486535.1
Oracle 管理软件 — Oracle Supply Chain、PeopleSoft Enterprise 和 Seibel 产品套件 Oracle Supply Chain 产品风险表
Oracle Seibel 产品风险表
Oracle PeopleSoft Enterprise 风险表		 针对 PeopleSoft Enterprise、Supply Chain 和 Seibel 产品套件的重要补丁更新知识文档,My Oracle Support 说明 1496538.1
Oracle 保健科学 Oracle 行业管理软件风险表 2012 年 10 月重要补丁更新中针对 Oracle 卫生科学的补丁发布文档,My Oracle Support 说明 1495292.1
Oracle FLEXCUBE 产品套件 Oracle Financial Services 软件风险表 联系 Oracle 客户支持以获得补丁
Oracle Sun 产品套件 Oracle Sun 产品套件风险表 2012 年 10 月重要补丁更新中针对 Oracle Sun 产品套件的补丁发布文档,My Oracle Support 说明 1475188.1
Oracle 虚拟化套件 Oracle 虚拟化产品套件风险表 2012 年 10 月重要补丁更新中针对 Oracle 虚拟化产品套件的补丁发布文档,My Oracle Support 说明 1475188.1
Oracle MySQL Server Oracle MySQL 风险表 2012 年 10 月重要补丁更新中针对 Oracle Sun 产品套件的补丁发布文档,My Oracle Support 说明 1475188.1

风险表内容

风险表只列出公告涉及到的补丁新近修复的安全漏洞。之前的安全修复程序的风险表包含在之前的重要补丁更新公告中。在此可获取本文档中提供的风险表的英语文本版本。

该重要补丁更新提出的几个漏洞影响着多个产品。每个漏洞都通过一个漏洞号来标识,该编号是相应漏洞的唯一标识符。一个影响多个产品的漏洞将在所有风险表中显示相同的漏洞号斜体 表明其他产品领域中包含的代码中的漏洞。

安全漏洞使用 CVSS 2.0 版进行评估(请参阅用于解释 Oracle 如何应用 CVSS 2.0 的 Oracle CVSS 评估系统)。Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及利用得逞的潜在影响的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析自己的风险。出于政策方面的原因,Oracle 不会透露有关可能会导致漏洞利用得逞的利用条件或结果的详细信息。Oracle 不提供除 CPU 或安全警报通知、可用补丁表、自述文件和常见问题解答所提供信息以外的其他具体漏洞信息。Oracle 不向个别客户提供有关 CPU 或安全警报的预先通知。最后,Oracle 不会针对产品漏洞发布可利用的入侵代码或验证性代码。有关详细信息,请参阅 Oracle 漏洞公开政策

风险表中的协议暗示其所有安全变体(如果适用)也将受到影响。例如,如果列出 HTTP 为受影响协议,则暗示 HTTPS(如果适用)也将受到影响。

解决方法

考虑到攻击得逞所带来的威胁,Oracle 强烈建议客户尽快应用 CPU 修复程序。如果不应用 CPU 修复程序,则无法通过阻止攻击所需的网络协议来降低攻击得逞的风险。对于需要特定权限或者需要访问特定程序包的攻击,对不需要这些权限的用户删除这些权限或者使其无法访问这些程序包可能有助于降低攻击得逞的风险。这两种方法都有可能损害应用程序功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。

漏掉的重要补丁更新

Oracle 强烈建议客户尽快应用安全修复程序。如果客户漏掉了一个或多个重要补丁更新,担心该 CPU 中未公布其修复程序的产品出现安全问题,请查看以前的重要补丁更新公告以确定要采取的行动。

产品相关性

某些 Oracle 产品可能依赖于其他 Oracle 产品。因此,该重要补丁更新中发布的安全漏洞修复程序可能影响一个或多个相关的 Oracle 产品。有关这些相关产品以及对相关产品应用补丁的详细信息,请参阅 2012 年 10 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1477727.1

重要补丁更新支持的产品和版本

只有终身支持政策的标准支持或扩展支持阶段中涵盖的产品版本才提供重要补丁更新补丁。建议客户规划产品升级,以确保当前运行的版本可以应用重要补丁更新补丁。

没有对未涵盖在标准支持或扩展支持之下的产品版本测试过是否存在该重要补丁更新提出的安全漏洞。但是,很可能受影响的版本的那些早期版本也会受这些安全漏洞的影响。因此,建议客户升级到受支持的版本。

受支持的数据库、融合中间件、Oracle Enterprise Manager 基础平台(以前的“Oracle Enterprise Manager Grid Control”)和 Collaboration Suite 产品根据软件错误更正支持政策(参见 My Oracle Support 说明 209768.1)进行修补。有关支持政策和支持阶段的详细指南,请查看技术支持政策

处于扩展支持阶段的产品

已购买终身支持政策下的扩展支持的客户可以使用重要补丁更新补丁。客户必须具有有效的扩展支持服务合同,才能在扩展支持阶段下载重要补丁更新补丁。

应请求 模式

Oracle 仅为客户要针对下一个重要补丁更新(基于历史数据)下载的平台/版本组合预先创建补丁。只要客户要求,我们将为以前固定的 Oracle 数据库、Oracle 应用服务器和 Enterprise Manager 的平台/版本组合创建补丁。

有关“应请求”补丁的更多详情,请参阅 2012 年 10 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1477727.1

致谢声明

该重要补丁更新修复的安全漏洞由以下人员或组织向 Oracle 报告:Digital Security 的 Alexandr Polyakov;Stratsec Research 的 Andy Yang;University of Pennsylvania 的 Dana Lane Taylor;新加坡 KPMG Management Consulting 的 Dominic Sim、Agus Komang;Application Security, Inc. 的 Esteban Martinez Fayo;Microsoft Corp 的 Gavin Thomas;SEC Consult Vulnerability Lab 的 Florian Lukavsky;Francis Provencher 通过 Secunia SVCRP;John Zimmerman;Citco 的 Martin Carpenter;Application Security, Inc. 的 Martin Rakhmanov;NGS Secure 的 Paul Harrington;Positive Technologies 的 Pavel Toporkov;Ronnie Sahlberg;Pentest Limited 的 Sam Thomas;Fox-IT 的 Sjoerd Resink;SUSE 的 Thomas Biege;Travis Emmert;Veracode 的 Travis Emmert。

深度安全贡献者

Oracle 向那些为我们的深度安全计划作出贡献的人表示感谢(参见常见问题解答)。对于导致在以后版本中大量修改 Oracle 代码或文档但是严重程度不足以归类到重要补丁更新中的安全漏洞问题,如果有人提供相关的信息、发现或建议,则会因为深度安全作出贡献而受到褒奖。

在此重要补丁更新公告中,Oracle 感谢 Open Source & Security Services Corp 的 Juan Manuel Pascual Escriba 为 Oracle 深度安全计划作出的贡献。

重要补丁更新时间表

重要补丁更新在距 1 月、4 月、7 月和 10 月的第 17 日最近的星期二发布。接下来的四个日期为:

  • 2013 年 1 月 15 日
  • 2013 年 4 月 16 日
  • 2013 年 7 月 16 日
  • 2013 年 10 月 15 日

参考资料


修改记录


2012 年 10 月 16 日 修订版 1。初始版本

 

附录 — Oracle 数据库服务器

 

 

Oracle 数据库服务器执行概要

 

该重要补丁更新包含 5 个适用于 Oracle 数据库服务器的新安全修复程序。其中 1 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。其中两个修复程序适用于仅客户端的安装(即,没有安装 Oracle 数据库服务器的安装)。在此可获取此风险表的英语文本形式。

请注意,Oracle 已于 2012 年 8 月 10 日发布了安全警报 CVE-2012-3132。该重要补丁更新中包括适用于 CVE-2012-3132 的修复程序,请参阅 2012 年 10 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 1477727.1

 

Oracle 数据库服务器风险表


漏洞号 组件 协议 所需的程序包和/或权限 是否需要身份验证才可远程利用 CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2012-3137 Core RDBMS Oracle NET 10.0 网络 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.2, 11.2.0.3 参见注释 1
CVE-2012-1751 Core RDBMS Oracle NET 创建会话,创建闪回存档 6.5 网络 一次性 部分+ 部分+ 部分+ 11.1.0.7, 11.2.0.2, 11.2.0.3  
CVE-2012-3132 Core RDBMS Oracle NET 创建会话,创建表 6.5 网络 一次性 部分+ 部分+ 部分+ 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.2, 11.2.0.3  
CVE-2012-3151 Core RDBMS Local Logon 3.3 本地 部分+ 部分+ 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.2, 11.2.0.3 参见注释 2
CVE-2012-3146 Core RDBMS Oracle NET 创建会话,创建任何目录 2.1 网络 一次性 部分 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.2, 11.2.0.3  
 

 

注:

  1. CVSS 基本评分仅对 Windows 为 10.0 分。对于 Linux、Unix 和其他平台 CVSS 基本评分为 7.5,而且对机密性、完整性以及可用性的影响评为“部分+”。


    有关信息,请参见 CVE-2012-3137 补丁,My Oracle Support 说明 1493990.1

    在一些配置中,建议安装数据库、Enterprise Manager Grid Control、WebLogic Server 和融合中间件客户端更新。有关您的环境需要应用哪些补丁的信息,请参阅 2011 年 10 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 1477727.1

  2. 该漏洞仅影响 Unix 和 Linux 平台。

 

仅具有 Oracle 数据库服务器客户端的安装

该重要补丁更新中包含的以下 Oracle 数据库服务器漏洞影响仅具有客户端的安装:CVE-2012-3137 和 CVE-2012-3151。


 

附录 — Oracle 融合中间件

 

 

Oracle 融合中间件执行概要

 

该重要补丁更新包含 26 个适用于 Oracle 融合中间件的新安全修复程序。其中 13 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

Oracle 融合中间件产品包括受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库组件。Oracle 融合中间件产品暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库安全修复程序未列在 Oracle 融合中间件风险表中。然而,由于影响 Oracle 数据库版本的漏洞可能影响 Oracle 融合中间件产品,Oracle 建议客户将 2012 年 10 月的重要补丁更新应用于 Oracle 融合中间件产品的 Oracle 数据库组件。有关您的环境需要应用哪些补丁的信息,请参阅 2012 年 10 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 1477727.1

 

Oracle 融合中间件风险表


漏洞号 组件 协议 子组件 是否需要身份验证才可远程利用 CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2012-3202 Oracle JRockit 多次 - 10.0 网络 28.2.4 及之前版本:JDK/JRE 5 和 6、27.7.3 及之前版本:JKD/JRE 5 参见注释 1
CVE-2012-3152 Oracle Reports Developer HTTP Report Server Component 6.4 网络 部分+ 部分+ 11.1.1.4, 11.1.1.6, 11.1.2.0  
CVE-2012-3153 Oracle Reports Developer HTTP Servlet 6.4 网络 部分 部分 11.1.1.4, 11.1.1.6, 11.1.2.0  
CVE-2011-1411 Oracle Event Processing 多次 Complex Event Processing System 5.8 网络 部分 部分 2.0, 11.1.1.4.0, 11.1.1.6.0  
CVE-2011-1411 Oracle WebLogic Server 多次 WebLogic Security 5.8 网络 部分 部分 9.2.4.0, 10.0.2.0, 10.3.5.0, 10.3.6.0, 12.1.1.0  
CVE-2012-0106 Oracle Imaging and Process Management HTTP Web 4.9 网络 一次性 部分+ 部分+ 10.1.3.6.0  
CVE-2012-3183 Oracle WebCenter Sites HTTP Advanced UI 4.9 网络 一次性 部分 部分 6.1, 6.2, 6.3.x, 7, 7.0.1, 7.0.2, 7.0.3, 7.5, 7.6.1, 7.6.2, 11.1.1.6.0  
CVE-2012-3185 Oracle WebCenter Sites HTTP Advanced UI 4.9 网络 一次性 部分 部分 6.1, 6.2, 6.3.x, 7, 7.0.1, 7.0.2, 7.0.3, 7.5, 7.6.1, 7.6.2, 11.1.1.6.0  
CVE-2012-3186 Oracle WebCenter Sites HTTP Advanced UI 4.9 网络 一次性 部分 部分 6.1, 6.2, 6.3.x, 7, 7.0.1, 7.0.2, 7.0.3, 7.5, 7.6.1, 7.6.2, 11.1.1.6.0  
CVE-2012-3175 Oracle Application Server Single Sign-On HTTP Cookies/Tokens、Redirects 4.3 网络 部分 10.1.4.3.0  
CVE-2012-0518 Oracle Application Server Single Sign-On HTTP Cookies/Tokens、Redirects 4.3 网络 部分 10.1.4.3.0  
CVE-2012-3194 Oracle BI Publisher HTTP Administration 4.3 网络 部分 10.1.3.4.2, 11.1.1.5.0, 11.1.1.6.0, 11.1.1.6.2  
CVE-2012-1686 Oracle Business Intelligence 企业版 HTTP Installation 4.3 网络 部分 - 参见注释 2
CVE-2012-0071 Oracle Imaging and Process Management HTTP Web 4.3 网络 部分 10.1.3.6.0  
CVE-2012-0093 Oracle Imaging and Process Management HTTP Web 4.3 网络 部分 10.1.3.6.0  
CVE-2012-0107 Oracle Imaging and Process Management HTTP Web 4.3 网络 部分 10.1.3.6.0  
CVE-2012-3184 Oracle WebCenter Sites HTTP Advanced UI 4.3 网络 部分 6.1, 6.2, 6.3.x, 7, 7.0.1, 7.0.2, 7.0.3, 7.5, 7.6.1, 7.6.2, 11.1.1.6.0  
CVE-2012-3193 Oracle BI Publisher HTTP Administration 3.5 网络 一次性 部分 10.3.4.2, 11.1.1.5.0, 11.1.1.6.0, 11.1.1.6.2  
CVE-2012-0086 Oracle Imaging and Process Management HTTP Web 3.5 网络 一次性 部分 10.1.3.6.0  
CVE-2012-0090 Oracle Imaging and Process Management HTTP Web 3.5 网络 一次性 部分 10.1.3.6.0  
CVE-2012-0092 Oracle Imaging and Process Management HTTP Web 3.5 网络 一次性 部分 10.1.3.6.0  
CVE-2012-0108 Oracle Imaging and Process Management HTTP Web 3.5 网络 一次性 部分 10.1.3.6.0  
CVE-2012-0095 Oracle Imaging and Process Management HTTP Web 2.1 网络 一次性 部分 10.1.3.6.0  
CVE-2012-3214 Oracle Outside In Technology Outside In Filter 2.1 本地 部分 8.3.7.0 参见注释 3
CVE-2012-3217 Oracle Outside In Technology Outside In HTML Export SDK 2.1 本地 部分 8.3.7.0 参见注释 3
CVE-2012-5065 Oracle WebCenter Sites HTTP ImagePicker 2.1 本地 部分 6.1, 6.2, 6.3.x, 7, 7.0.1, 7.0.2, 7.0.3, 7.5, 7.6.1, 7.6.2, 11.1.1.6.0  
 

 

注:

  1. Oracle 发布了 2012 年 10 月 16 日 Java SE 重要补丁更新来解决影响 Java 运行时环境的多个漏洞。Oracle CVE-2012-3202 指的是 Java SE 重要补丁更新中适用于 JRockit 的公告漏洞。在 JRockit 已修复的漏洞中,这个漏洞号的 CVSS 评分最高。JRockit 中在 CVE-2012-3202 下解决的所有漏洞的完整列表如下:CVE-2012-5083、CVE-2012-1531、CVE-2012-5081 和 CVE-2012-5085。
  2. 在所有支持的版本和补丁集中得到修复。
  3. Outside In Technology 是一个软件开发工具包 (SDK) 套件。它没有任何特定的相关协议。如果托管软件通过网络将收到的数据传递给 Outside In Technology 代码,则 CVSS 评分将升高到 6.8。

 

附录 — Oracle 管理软件

 

 

Oracle E-Business Suite 执行概要

 

该重要补丁更新包含 9 个适用于 Oracle E-Business Suite 的新安全修复程序。其中 6 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

Oracle E-Business Suite 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库Oracle 融合中间件部分中所列漏洞的影响。Oracle E-Business Suite 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle E-Business Suite 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle E-Business Suite 产品,Oracle 建议客户将 2012 年 10 月的重要补丁更新应用于 Oracle E-Business Suite 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 2012 年 10 月的 Oracle E-Business Suite 重要补丁更新 My Oracle Support 说明 1486535.1

 

Oracle E-Business Suite 风险表


漏洞号 组件 协议 子组件 是否需要身份验证才可远程利用 CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2012-3196 Oracle Human Resources HTTP PDF generation 6.4 网络 部分 部分 11.5.10.2, 12.0.6, 12.1.1, 12.1.2, 12.1.3  
CVE-2012-3171 Oracle Applications Technology Stack HTTP Autoconfig Templates 5.0 网络 部分 11.5.10.2, 12.0.6, 12.1.3  
CVE-2012-3222 Oracle iRecruitment HTTP Signon(仅本地) 5.0 网络 部分+ 11.5.10.2, 12.0.6, 12.1.1, 12.1.2, 12.1.3  
CVE-2012-3139 Oracle Application Object Library HTTP Signon(本地和 SSO) 4.3 网络 部分 11.5.10.2  
CVE-2012-3138 Oracle iStore HTTP Web interface 4.3 网络 部分 11.5.10.2, 12.0.6, 12.1.1, 12.1.2, 12.1.3  
CVE-2012-5058 Oracle iStore HTTP Web interface 4.3 网络 部分 11.5.10.2, 12.0.6, 12.1.1, 12.1.2, 12.1.3  
CVE-2012-3148 Oracle Field Service HTTP Wireless/WAP upload 3.5 网络 一次性 部分 12.1.3  
CVE-2012-3164 Oracle Marketing HTTP Publish Item 3.5 网络 一次性 部分 11.5.10.2, 12.0.6, 12.1.1, 12.1.2, 12.1.3  
CVE-2012-3162 Oracle Applications Framework HTTP MDS loading 1.7 本地 一次性 部分 11.5.10.2, 12.0.6, 12.1.3  
 

 



 

Oracle Supply Chain 产品套件执行概要

 

该重要补丁更新包含 9 个适用于 Oracle Supply Chain 产品套件的新安全修复程序。其中 4 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

 

Oracle Supply Chain 产品套件风险表


漏洞号 组件 协议 子组件 是否需要身份验证才可远程利用 CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2012-3140 Oracle Agile PLM For Process HTTP Supply Chain Relationship Mgmt 5.5 网络 一次性 部分 部分+ 6.0.0.6.3, 6.1.0.1.14  
CVE-2012-5092 Oracle Agile PLM for Process HTTP Supply Chain Relationship Mgmt 5.5 网络 一次性 部分 部分 5.2.2, 6.1.0.0  
CVE-2012-5094 Oracle Agile PLM for Process HTTP User Group Management 5.0 网络 部分 5.2.2, 6.1.0.0  
CVE-2012-3161 Oracle Agile PLM Framework HTTP Web Client (CS) 4.3 网络 部分 9.3.1.1  
CVE-2012-5093 Oracle Agile PLM for Process HTTP Global Spec Management 4.3 网络 部分 5.2.2, 6.1.0.0  
CVE-2012-5091 Oracle Agile Product Supplier Collaboration for Process HTTP Supplier Portal 4.3 网络 部分 5.2.2, 6.1.0.0  
CVE-2012-3154 Oracle Agile PLM Framework HTTP ATTACH 4.0 网络 一次性 部分 9.3.1.0  
CVE-2012-3200 Oracle Agile PLM Framework HTTP ROLESPRV 4.0 网络 一次性 部分 9.3.1.1  
CVE-2012-5090 Oracle Agile PLM for Process HTTP Document Reference Library 4.0 网络 一次性 部分 5.2.2, 6.1.0.0  
 

 



 

Oracle PeopleSoft 产品执行概要

 

该重要补丁更新包含 9 个适用于 Oracle PeopleSoft 产品的新安全修复程序。其中 1 个漏洞无需身份验证即可远程利用,即可以通过网络使用此漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

 

Oracle PeopleSoft 产品风险表


漏洞号 组件 协议 子组件 是否需要身份验证才可远程利用 CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2012-3182 PeopleSoft Enterprise PeopleTools HTTP PIA Core Technology 4.3 网络 部分 8.52  
CVE-2012-3201 PeopleSoft Enterprise Campus Solutions HTTP Self-Service (Student Records) 4.0 网络 一次性 部分 9.0  
CVE-2012-3195 PeopleSoft Enterprise PeopleTools HTTP Portal 4.0 网络 一次性 部分 8.50, 8.51, 8.52  
CVE-2012-3198 PeopleSoft Enterprise PeopleTools HTTP Query 4.0 网络 一次性 部分 8.51, 8.52  
CVE-2012-3181 PeopleSoft Enterprise PeopleTools HTTP Security 4.0 网络 一次性 部分 8.50, 8.51, 8.52  
CVE-2012-3188 PeopleSoft Enterprise PeopleTools HTTP PIA Core Technology 3.5 网络 一次性 部分 8.50, 8.51  
CVE-2012-3176 PeopleSoft Enterprise PeopleTools HTTP Panel Processor 3.5 网络 一次性 部分 8.52  
CVE-2012-3179 PeopleSoft Enterprise PeopleTools HTTP Tree Manager 3.5 网络 一次性 部分 8.50, 8.51, 8.52  
CVE-2012-3191 PeopleSoft Enterprise PeopleTools HTTP Data Mover 2.1 网络 一次性 部分 8.50, 8.51, 8.52  
 

 



 

Oracle Siebel CRM 执行概要

 

该重要补丁更新包含 2 个适用于 Oracle Siebel CRM 的新安全修复程序。其中 1 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

 

Oracle Siebel CRM 风险表


漏洞号 组件 协议 子组件 是否需要身份验证才可远程利用 CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2012-3230 Siebel UI Framework HTTP Portal Framework 4.3 网络 部分 8.1.1  
CVE-2012-3229 Siebel UI Framework HTTP Siebel Documentation 4.0 网络 一次性 部分 8.1.1  
 

 


 

附录 — Oracle 行业管理软件

 

 

Oracle 行业管理软件执行概要

 

该重要补丁更新包含 2 个适用于 Oracle 行业管理软件的新安全修复程序。其中一个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

 

Oracle 行业管理软件风险表


漏洞号 组件 协议 子组件 是否需要身份验证才可远程利用 CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2012-5066 Oracle Central Designer HTTP - 6.8 网络 部分+ 部分+ 部分 1.3, 1.4, 1.4.2  
CVE-2012-1763 Oracle Clinical/Remote Data Capture HTTP HTML Surround 4.0 网络 一次性 部分+ 4.6.0, 4.6.2  
 

 


 

附录 — Oracle Financial Services 软件

 

 

Oracle Financial Services 软件执行概要

 

该重要补丁更新包含 13 个适用于 Oracle Financial Services 软件的新安全修复程序。其中 1 个漏洞无需身份验证即可远程利用,即可以通过网络使用此漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

 

Oracle Financial Services 软件风险表


漏洞号 组件 协议 子组件 是否需要身份验证才可远程利用 CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2012-3226 Oracle FLEXCUBE Universal Banking HTTP BASE 5.5 网络 一次性 部分 部分 10.0.0, 10.0.2, 10.1.0, 10.2.0, 10.2.2, 10.3.0, 10.5.0, 11.0.0 - 11.4.0, 12.0.0  
CVE-2012-5063 Oracle FLEXCUBE Universal Banking HTTP BASE 5.0 网络 部分 10.0.0, 10.0.2, 10.1.0, 10.2.0, 10.2.2, 10.3.0, 10.5.0, 11.0.0 - 11.4.0, 12.0.0  
CVE-2012-3228 Oracle FLEXCUBE Direct Banking HTTP BASE 4.9 网络 一次性 部分 部分 5.0.2, 5.0.5, 5.1.0, 5.2.0, 5.3.0 - 5.3.4, 6.0.1, 6.2.0  
CVE-2012-3141 Oracle FLEXCUBE Universal Banking HTTP BASE 4.0 网络 一次性 部分 10.0.0, 10.0.2, 10.1.0, 10.2.0, 10.2.2, 10.3.0, 10.5.0, 11.0.0 - 11.2.0  
CVE-2012-5061 Oracle FLEXCUBE Universal Banking HTTP BASE 4.0 网络 一次性 部分 10.0.0, 10.0.2, 10.1.0, 10.2.0, 10.2.2, 10.3.0, 10.5.0, 11.0.0 - 11.4.0, 12.0.0  
CVE-2012-3225 Oracle FLEXCUBE Direct Banking HTTP BASE 3.6 网络 一次性 部分 部分 5.3.0 - 5.3.4  
CVE-2012-3142 Oracle FLEXCUBE Direct Banking HTTP BASE 3.5 网络 一次性 部分 5.0.5, 5.1.0, 5.2.0, 5.3.0 - 5.3.4  
CVE-2012-3157 Oracle FLEXCUBE Direct Banking HTTP BASE 3.5 网络 一次性 部分 5.0.2, 5.0.5, 5.1.0, 5.2.0, 5.3.0 - 5.3.4, 6.0.1, 6.2.0, 12  
CVE-2012-3224 Oracle FLEXCUBE Direct Banking HTTP BASE 3.5 网络 一次性 部分 5.1.0, 5.2.0, 5.3.0 - 5.3.4  
CVE-2012-3227 Oracle FLEXCUBE Universal Banking HTTP BASE 3.5 网络 一次性 部分 10.0.0, 10.0.2, 10.1.0, 10.2.0, 10.2.2, 10.3.0, 10.5.0, 11.0.0 - 11.2.0  
CVE-2012-5064 Oracle FLEXCUBE Universal Banking HTTP BASE 3.5 网络 一次性 部分 10.0.0, 10.0.2, 10.1.0, 10.2.0, 10.2.2, 10.3.0, 10.5.0, 11.0.0 - 11.2.0  
CVE-2012-3223 Oracle FLEXCUBE Direct Banking HTTP BASE 2.1 网络 一次性 部分 5.0.2, 5.0.5, 5.1.0, 5.2.0, 5.3.0 - 5.3.4, 6.0.1  
CVE-2012-3145 Oracle FLEXCUBE Direct Banking HTTP BASE 1.5 本地 一次性 部分 5.0.2, 5.0.5, 5.1.0, 5.2.0, 5.3.0 - 5.3.4, 6.2.0  
 

 


 

附录 — Oracle Sun 产品套件

 

 

Oracle Sun 产品套件执行概要

 

该重要补丁更新包含 18 个适用于 Oracle Sun 产品套件的新安全修复程序。其中 3 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

 

Oracle Sun 产品套件风险表


漏洞号 组件 协议 子组件 是否需要身份验证才可远程利用 CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2012-3210 Solaris TCP/IP Kernel 7.8 网络 11  
CVE-2012-3189 Solaris TCP/IP(iSCSI) COMSTAR 7.8 网络 11  
CVE-2012-3199 Solaris Gnome Trusted Extension 7.2 本地 10, 11  
CVE-2012-0217 Solaris Kernel 7.2 本地 10, 11 参见注释 1
CVE-2012-3204 Solaris Power Management 7.2 本地 11  
CVE-2012-3187 Solaris Kernel 6.9 本地 10  
CVE-2012-3209 Solaris Logical Domain(LDOM) 5.6 本地 部分 10, 11 参见注释 2
CVE-2012-3155 Oracle GlassFish Server, Sun GlassFish Enterprise Server, Sun Java System Application Server TCP/IP CORBA ORB 5.0 网络 部分+ Sun GlassFish Enterprise Server 2.1.1, Oracle GlassFish Server 3.0.1, Oracle GlassFish Server 3.1.2, Sun Java System Application Server 8.1, Sun Java System Application Server 8.2  
CVE-2012-3207 Solaris Kernel 4.9 本地 9, 10, 11  
CVE-2012-3208 Solaris Kernel/RCTL 4.9 本地 10, 11  
CVE-2012-3212 Solaris Kernel 4.7 本地 10, 11 参见注释 3
CVE-2012-3211 Solaris Kernel/System Call 4.6 本地 一次性 10, 11  
CVE-2012-5095 Solaris inetd(1M) 4.4 本地 部分 部分 部分 10  
CVE-2012-3165 Solaris mailx(1) 3.6 本地 部分 部分 8, 9, 10, 11  
CVE-2012-3206 SPARC T3, Netra SPARC T3, SPARC T4, Netra SPARC T4 Integrated Lights Out Manager CLI 2.1 本地 部分 对于基于 SPARC T3 的服务器:SysFW 8.2.0.a;对于其他服务器,请参见 1475188.1 参见注释 4
CVE-2012-3203 Solaris Gnome Display Manager(GDM) 2.1 本地 部分+ 11  
CVE-2012-3205 Solaris Vino server 2.1 本地 部分 11  
CVE-2012-3215 Solaris Kernel 1.7 本地 一次性 部分 10, 11 参见注释 2
 

 

注:

  1. CVE-2012-0217 仅影响在 SPARC 之外的平台上运行的 Solaris 实例
  2. CVE-2012-3209 和 CVE-2012-3215 仅影响 SPARC 平台上的 Solaris
  3. CVE-2012-3212 仅影响 SPARC T4 服务器上的 Solaris
  4. 受 CVE-2012-3206 影响的具体产品为:SPARC T3-1, SPARC T3-2, SPARC T3-4, SPARC T3-1B, Netra SPARC T3-1, Netra SPARC T3-1B, SPARC T4-1, SPARC T4-2, SPARC T4-4, SPARC T4-1B, Netra SPARC T4-1, Netra SPARC T4-2, Netra SPARC T4-2B

 

附录 — Oracle Linux 和 Oracle 虚拟化

 

 

Oracle 虚拟化执行概要

 

该重要补丁更新包含 2 个适用于 Oracle 虚拟化的新安全修复程序。其中一个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

 

Oracle 虚拟化风险表


漏洞号 组件 协议 子组件 是否需要身份验证才能进行远程利用 CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2012-1685 Secure Global Desktop HTTP Core 4.3 网络 部分 4.6  
CVE-2012-3221 Oracle VM Virtual Box VirtualBox Core 2.1 本地 部分+ 3.2, 4.0, 4.1  
 

 


 

附录 — Oracle MySQL

 

 

Oracle MySQL 执行概要

 

该重要补丁更新包含 14 个适用于 Oracle MySQL 的新安全修复程序。其中两个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

 

Oracle MySQL 风险表


漏洞号 组件 协议 子组件 是否需要身份验证才能进行远程利用 CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2012-3163 MySQL Server MySQL Protocol Information Schema 9.0 网络 一次性 5.1.64 及早期版本、5.5.26 及早期版本 参见注释 1
CVE-2012-3158 MySQL Server MySQL Protocol Protocol 7.5 网络 部分+ 部分+ 部分+ 5.1.64 及早期版本、5.5.26 及早期版本  
CVE-2012-3177 MySQL Server MySQL Protocol Server 6.8 网络 一次性 5.1.65 及早期版本、5.5.27 及早期版本  
CVE-2012-3147 MySQL Server MySQL Protocol MySQL Client 6.4 网络 部分 部分 5.5.26 及早期版本  
CVE-2012-3166 MySQL Server MySQL Protocol InnoDB 4.0 网络 一次性 部分+ 5.1.63 及早期版本、5.5.25 及早期版本  
CVE-2012-3173 MySQL Server MySQL Protocol InnoDB Plugin 4.0 网络 一次性 部分+ 5.1.63 及早期版本、5.5.25 及早期版本  
CVE-2012-3144 MySQL Server MySQL Protocol Server 4.0 网络 一次性 部分+ 5.5.26 及早期版本  
CVE-2012-3150 MySQL Server MySQL Protocol Server Optimizer 4.0 网络 一次性 部分+ 5.1.64 及早期版本、5.5.26 及早期版本  
CVE-2012-3180 MySQL Server MySQL Protocol Server Optimizer 4.0 网络 一次性 部分+ 5.1.65 及早期版本、5.5.27 及早期版本  
CVE-2012-3149 MySQL Server MySQL Protocol MySQL Client 3.5 网络 一次性 部分 5.5.26 及早期版本  
CVE-2012-3156 MySQL Server MySQL Protocol Server 3.5 网络 一次性 部分+ 5.5.25 及早期版本  
CVE-2012-3167 MySQL Server MySQL Protocol Server Full Text Search 3.5 网络 一次性 部分+ 5.1.63 及早期版本、5.5.25 及早期版本  
CVE-2012-3197 MySQL Server MySQL Protocol Server Replication 3.5 网络 一次性 部分+ 5.1.64 及早期版本、5.5.26 及早期版本  
CVE-2012-3160 MySQL Server MySQL Protocol Server Installation 2.1 本地 部分 5.1.65 及早期版本、5.5.27 及早期版本  
 

 

注:

  1. CVSS 基本评分仅对 Windows 为 9.0 分。对于 Linux、Unix 和其他平台 CVSS 基本评分为 6.5,而且对机密性、完整性以及可用性的影响评为“部分+”。