Oracle 重要补丁更新公告 — 2015 年 10 月


说明

重要补丁更新 (CPU) 是针对多个安全漏洞的补丁集合。重要补丁更新补丁通常是累积式的,但是每个公告只描述自上一个重要补丁更新公告以来添加的安全修复程序。因此,要了解有关以前发布的安全修复程序的信息,应该查看以前的重要补丁更新公告。请参见:


重要补丁更新和安全警报,获得有关 Oracle 安全公告的信息。


Oracle 将继续定期接收恶意利用 Oracle 已经针对其发布了修复程序的安全漏洞的报告。据报告可知,有些情况下由于客户未能应用可用的 Oracle 补丁,恶意攻击者取得了成功。因此,Oracle 强烈 建议客户继续使用受积极支持的版本,刻不容缓 地应用重要补丁更新修复程序。


该重要补丁更新包含针对下列产品系列的 154 个新的安全修复程序。请注意,https://blogs.oracle.com/security 上的一篇博文总结了这个重要补丁更新的内容以及其他 Oracle 软件安全性保障活动。


本重要补丁更新公告还提供了符合常见漏洞报告格式 (CVRF) 1.1 版的 XML 格式。有关 Oracle 使用 CVRF 的更多信息,请参阅 http://www.oracle.com/technetwork/topics/security/cpufaq-098434.html#CVRF


受影响的产品和组件

该重要补丁更新解决的安全漏洞影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在与指定的“产品和版本”列对应的“可用补丁”列中。请点击下面的“可用补丁”列中或可用补丁表中的链接,查看这些补丁的文档。


下面是 Oracle 终身支持政策下标准支持或扩展支持所涵盖的受影响的产品版本列表:


受影响的产品和版本 可用补丁
Oracle 数据库服务器,版本 11.2.0.4、12.1.0.1、12.1.0.2 数据库
Mobile Server,版本 10.3.0.3、11.3.0.2、12.1.0.0 Mobile/Lite Server
Oracle Access Manager,版本 11.1.2.2、11.1.2.3 融合中间件
Oracle Business Intelligence 企业版,版本 11.1.1.7、11.1.1.9 融合中间件
Oracle Endeca Server,版本 7.3.0.0、7.4.0.0、7.5.1.1、7.6.1.0.0 融合中间件
Oracle Enterprise Data Quality,版本 8.1、9.0、11.1.1.7.4、12.1.3.0.0 融合中间件
Oracle Exalogic Infrastructure,版本 EECS 2.0.6.2.3 融合中间件
Oracle 融合中间件,版本 10.1.3.5、11.1.1.7、11.1.1.8、11.1.1.9、11.1.2.1、11.1.2.2、11.1.2.3、12.1.2.0、12.1.3.0 融合中间件
Oracle GlassFish Server,版本 3.0.1、3.1.2 融合中间件
Oracle HTTP Server,版本 10.1.3.5、11.1.1.7、11.1.1.9、12.1.2.0、12.1.3.0 融合中间件
Oracle Identity Manager,版本 11.1.1.7、11.1.2.2、11.1.2.3 融合中间件
Oracle JDeveloper,版本 11.1.2.4.0、12.1.2.0.0、12.1.3.0.0 融合中间件
Oracle Mobile Security Suite,版本 MSS 3.0 融合中间件
Oracle Outside In Technology,版本 8.5.0、8.5.1、8.5.2 融合中间件
Oracle Traffic Director,版本 11.1.1.7.0、11.1.1.9.0 融合中间件
Oracle WebCenter Content,版本 10.1.3.5.1 融合中间件
Oracle WebCenter Sites,版本 7.6.2、11.1.1.6.1、11.1.1.8.0 融合中间件
Hyperion Installation Technology,版本 11.1.2.3 融合中间件
Enterprise Manager Base Platform,版本 12.1.0.4、12.1.0.5 Enterprise Manager
Enterprise Manager Ops Center,版本 12.1.0.1、12.2.2 Enterprise Manager
OSS Support Tools,8.8.15.7.15 之前的版本 Enterprise Manager
Oracle E-Business Suite,版本 11.5.10.2、12.0.6、12.1.3、12.2.3、12.2.4 E-Business Suite
Oracle Agile Engineering Data Management,版本 6.1.2.2、6.1.3.0、6.2.0.0 Oracle Supply Chain 产品
Oracle Agile PLM,版本 9.3.3、9.3.4 Oracle Supply Chain 产品
Oracle Configurator,版本 12.0.6、12.1.3、12.2.3、12.2.4 Oracle Supply Chain 产品
Oracle Transportation Management,版本 6.1、6.2 Oracle Supply Chain 产品
PeopleSoft Enterprise FIN Expenses,版本 9.2 PeopleSoft
PeopleSoft Enterprise FSCM,版本 9.2 PeopleSoft
PeopleSoft Enterprise HCM,版本 9.2 PeopleSoft
PeopleSoft Enterprise HCM Talent Acquistion Managment,版本 9.2 PeopleSoft
PeopleSoft Enterprise PeopleTools,版本 8.53、8.54 PeopleSoft
Siebel 应用,版本 IP2014、IP2015 Siebel
Oracle 融合应用,版本 11.1.2 至 11.1.9 融合应用
Oracle 公用事业作业和资产管理系统,版本 1.9.1.1.2 行业应用
Oracle Communications Convergence,版本 2.0、3.0.1 通信
Oracle Communications Diameter Signaling Router (DSR),版本 4.1.6 及之前的版本、5.1.0 及之前的版本、6.0.2 及之前的版本、7.1.0 及之前的版本 通信
Oracle Communications LSMS,版本 13.1 通信
Oracle Communications Messaging Server,版本 7.0.5、8.0 通信
Oracle Communications Performance Intelligence Center Software,版本 9.0.3 及之前的版本、10.1.5 及之前的版本 通信
Oracle Communications Policy Management,版本 9.9.0 及之前的版本、10.5.0 及之前的版本、11.5.0 及之前的版本、12.1.0 及之前的版本 通信
Oracle Communications Tekelec HLR Router,版本 4.0.0 通信
Oracle Communications User Data Repository,版本 10.2.0 及之前的版本 通信
Oracle Retail Back Office,版本 12.0、12.0IN、13.0、13.1、13.2、13.3、13.4、14.0、RM2.0 零售
Oracle Retail Central Office,版本 12.0、12.0IN、13.0、13.1、13.2、13.3、13.4、14.0、RM2.0 零售
Oracle Retail Open Commerce Platform,版本 3.0 零售
Oracle Retail Returns Management,版本 12.0、12.0IN、13.0、13.1、13.2、13.3、13.4、14.0、RM2.0 零售
Oracle Java SE,版本 6u101、7u85、8u60 Oracle Java SE
Oracle Java SE Embedded,版本 8u51 Oracle Java SE
Oracle JavaFX,版本 2.2.85 Oracle Java SE
Oracle JRockit,版本 R28.3.7 Oracle Java SE
Fujitsu M10-1、M10-4、M10-4S 服务器,XCP 2271 之前的版本 Oracle 和 Sun 系统产品套件
Integrated Lights Out Manager (ILOM),版本 3.0、3.1、3.2 Oracle 和 Sun 系统产品套件
Solaris,版本 10、11.2 Oracle 和 Sun 系统产品套件
Oracle FS1-2 闪存系统,版本 6.1、6.2、6.3 Pillar Axiom
Oracle VM VirtualBox,4.0.34 之前的版本、4.1.42 之前的版本、4.2.34 之前的版本、4.3.32 之前的版本、5.0.8 之前的版本 Oracle Linux 和虚拟化
MySQL Enterprise Monitor,版本 2.3.20 及之前的版本、3.0.22 及之前的版本 Oracle MySQL 产品套件
MySQL Server,版本 5.5.45 及之前的版本、5.6.26 及之前的版本 Oracle MySQL 产品套件


可用补丁表与风险表


可用补丁表


对于所管理的每个 Oracle 产品,请查阅下表中提到的有关可用补丁信息和安装说明的文档。有关与该重要补丁更新相关的 Oracle 产品文档概述,请参阅 2015 年 10 月重要文档更新文档概述 My Oracle Support 说明 2031790.1


产品分组 风险表 可用补丁和安装信息
Oracle 数据库 Oracle 数据库风险表 2015 年 10 月补丁集更新和重要补丁更新可用性文档 My Oracle Support 说明 2037108.1
Oracle 融合中间件 Oracle 融合中间件风险表 2015 年 10 月补丁集更新和重要补丁更新可用性文档 My Oracle Support 说明 2037108.1
Oracle 融合应用 Oracle 数据库风险表Oracle 融合中间件风险表 影响 Oracle DatabaseOracle Fusion Middleware 的漏洞可能会影响 Oracle 融合应用,因此 Oracle 客户应参阅 Oracle 融合应用重要补丁更新知识文档(2015 年 10 月)My Oracle Support 说明 2067867.1,了解有关要应用于融合应用环境的补丁的信息。
Oracle Enterprise Manager Oracle Enterprise Manage 风险表 2015 年 10 月补丁集更新和重要补丁更新可用性文档 My Oracle Support 说明 2037108.1
Oracle 应用 — E-Business Suite Oracle E-Business Suite 风险表 2015 年 10 月补丁集更新和重要补丁更新可用性文档 My Oracle Support 说明 2051000.1
Oracle 应用 — Oracle Supply Chain、PeopleSoft Enterprise 和 Siebel Oracle Supply Chain 风险表
Oracle PeopleSoft Enterprise 风险表
Oracle Siebel 风险表
针对 Oracle Supply Chain、PeopleSoft Enterprise 和 Siebel 产品套件的重要补丁更新知识文档,My Oracle Support 说明 2066864.1
Oracle 公用事业应用套件 Oracle 公用事业应用风险表 2015 年 10 月重要补丁更新可用性文档 My Oracle Support 说明 2063167.1
Oracle 通信应用套件 Oracle 通信应用风险表 2015 年 10 月重要补丁更新可用性文档 My Oracle Support 说明 2066863.1
Oracle 零售应用套件 Oracle 零售应用风险表 2015 年 10 月重要补丁更新可用性文档 My Oracle Support 说明 2067325.1
Oracle Java SE Oracle Java SE 风险表
  • 2015 年 10 月的重要补丁更新中针对 Java SE 的可用补丁文档 My Oracle Support 说明 2049800.1
  • 使用浏览器运行 Java SE 的用户可以从 http://java.com/ 下载最新版本。Windows 和 Mac OS X 平台上的用户还可以使用自动更新获取最新版本。
  • JDK 及 JRE 7 和 8 最新更新中包含了 JavaFX 最新版本。
Oracle 和 Sun 系统产品套件 Oracle 和 Sun 系统产品套件风险表 2015 年 10 月重要补丁更新中针对 Oracle 和 Sun 系统产品套件的补丁发布文档 My Oracle Support 说明 2060027.1
Oracle Pillar Axiom Oracle Pillar Axiom 风险表 2015 年 10 月重要补丁更新中针对 Oracle Pillar Axiom 的补丁发布文档 My Oracle Support 说明 2060214.1
Oracle Linux 和虚拟化产品 Oracle Linux 和虚拟化产品 2015 年 10 月重要补丁更新中针对 Oracle Linux 和虚拟化产品套件的补丁发布文档 My Oracle Support 说明 2060225.1
Oracle MySQL Oracle MySQL 风险表 2015 年 10 月重要补丁更新中针对 Oracle MySQL 产品的可用补丁文档 My Oracle Support 说明 2048227.1

风险表内容


风险表只列出公告涉及到的补丁新近修复的安全漏洞。之前的安全修复程序的风险表包含在之前的重要补丁更新公告中。在此可获取本文档中提供的风险表的英语文本版本。


该重要补丁更新提出的几个漏洞影响多个产品。每个漏洞都通过一个漏洞号来标识,该编号是相应漏洞的唯一标识符。一个影响多个产品的漏洞将在所有风险表中显示相同的漏洞号。用斜体 显示的漏洞号表明该漏洞不仅影响斜体漏洞号所在行的产品,还影响其他产品。


安全漏洞使用 CVSS 2.0 版进行评估(请参阅用于解释 Oracle 如何应用 CVSS 2.0 的 Oracle CVSS 评估系统)。Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及利用得逞的潜在影响的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析自己的风险。有关详细信息,请参阅 Oracle 漏洞公开政策


风险表中的协议暗示其所有安全变体(如果适用)也将受到影响。例如,如果列出 HTTP 为受影响协议,则暗示 HTTPS(如果适用)也将受到影响。仅当协议的安全变体是唯一一个 受影响的变体时,才会在风险表中列出,例如,HTTPS 通常会列为 SSL 和 TLS 的漏洞。


解决方法

考虑到攻击得逞所带来的威胁,Oracle 强烈建议客户尽快应用 CPU 修复程序。如果不应用 CPU 修复程序,则无法通过阻止攻击所需的网络协议来降低攻击得逞的风险。对于需要特定权限或者需要访问特定程序包的攻击,对不需要这些权限的用户删除这些权限或者使其无法访问这些程序包可能有助于降低攻击得逞的风险。这两种方法都有可能损害应用功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。


漏掉的重要补丁更新

Oracle 强烈建议客户尽快应用安全修复程序。如果客户漏掉了一个或多个重要补丁更新,担心该 CPU 中未公布其修复程序的产品出现安全问题,请查看以前的重要补丁更新公告以确定要采取的行动。


产品相关性

某些 Oracle 产品可能依赖于其他 Oracle 产品。因此,该重要补丁更新中发布的安全漏洞修复程序可能影响一个或多个相关的 Oracle 产品。有关这些相关产品以及对相关产品应用补丁的详细信息,请参阅 2015 年 10 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 2037108.1


重要补丁更新支持的产品和版本

只有终身支持政策的标准支持或扩展支持阶段中涵盖的产品版本才提供通过重要补丁更新计划发布的补丁。建议客户规划产品升级,以确保当前运行的版本可以应用通过重要补丁更新计划发布的补丁。


没有对未涵盖在标准支持或扩展支持之下的产品版本测试过是否存在该重要补丁更新提出的安全漏洞。但是,很可能受影响的版本的那些早期版本也会受这些安全漏洞的影响。因此,Oracle 建议客户升级到受支持的版本。


受支持的数据库、融合中间件、Oracle Enterprise Manager Base Platform(以前的“Oracle Enterprise Manager Grid Control”)和 Collaboration Suite 产品根据软件错误更正支持政策(参见 My Oracle Support 说明 209768.1)进行修补。有关支持政策和支持阶段的详细指南,请查看技术支持政策


处于扩展支持阶段的产品

已购买终身支持政策下的扩展支持的客户可以使用通过重要补丁更新计划发布的补丁。客户必须具有有效的扩展支持服务合同,才能在扩展支持阶段下载通过重要补丁更新计划发布的补丁。


致谢声明

该重要补丁更新修复的安全漏洞由以下人员或组织向 Oracle 报告:Exodus Intelligence 的 Aaron Portnoy;Security Explorations 的 Adam Gowdiak;Foreground Security 的 Adam Willard;Intel Security 的高级威胁研究团队;SyncWords 的 Aleksandr Dubinsky;ERPScan 的 Alexey Tyurin;Truel IT 的 Andrea Palazzo;Secunia Research 的 Behzad Najjarpour Jabbari;Google 安全团队的 Borked;Trend Micro 的 Brooks Li;Biznet Bilisim A.S. 的 Cihan ?ncü;Colm O hEigeartaigh;Dan Peled;Google 的 David Litchfield;ERPScan 的 Egor Karbutov;Erlend Oftedal;Fortinet, Inc. 的 FortiGuard Labs;COSIG 的 Francis Provencher;Context Information Security 的 Francois Goichon;MWR Labs 的 G. Geshev;Gregory Golds;Guido Vranken;ERPScan 的 Ivan Chalykin;Jacob Smith;ING Services Polska 的 Jakub Palaczynski;Jibe Consulting 的 Jeff Kayser;Kana Toko;Netspi 的 Khai Tran;Trustwave 的 Leopold von Niebelschuetz-Godlewski;Marcin Gebarowski;Trustwave 的 Martin Rakhmanov;ERPScan 的 Nikita Kelesis;Osanda Malith Jayathissa;Oscar Andersson;Red Hat Product Security;Salesforce.com 的 Sergey Gorbaty ;Salesforce.com 的 Travis Emmert;以及 Ugur Cihan Koc — Avea Iletisim Hizmetleri A.S.


深度安全贡献者


Oracle 向那些为我们的深度安全计划作出贡献的人表示感谢(参见常见问题解答)。对于导致在以后版本中大量修改 Oracle 代码或文档但是严重程度不足以归类到重要补丁更新中的安全漏洞问题,如果有人提供相关的信息、发现或建议,则会因为深度安全作出贡献而受到褒奖。

在此重要补丁更新公告中,Oracle 向以下为 Oracle 深度安全计划作出贡献的人们表示感谢:Amazon Web Services IT Security 的 Greg Rubin;Karthikeyan Bhargavan;以及 HP 零时差计划的 Steven Seeley。


在线业务安全贡献者


Oracle 向那些为我们的在线业务安全计划作出贡献的人表示感谢(参见常见问题解答)。如果有人提供会导致在以后版本中大量修改 Oracle 面向外部的在线系统安全问题相关的信息、发现或建议,则会因为在线业务安全作出贡献而受到褒奖。

本季度,Oracle 向以下为 Oracle 在线业务安全计划作出贡献的人们表示感谢:Foreground Security 的 Adam Willard;Jerold Camacho;^Lift Security 的 Jon Lamendola;Mehmet Nurcan;Nicolas Francois;Pratyush Anjan Sarangi;Roberto Zanga;Rodolfo Godalle Jr.;Treasure Priyamal;以及 Future-Sec 的 Weijun Lin。


重要补丁更新时间表

重要补丁更新在距 1 月、4 月、7 月和 10 月的第 17 日最近的星期二发布。接下来的四个日期为:

  • 2016 年 1 月 19 日
  • 2016 年 4 月 19 日
  • 2016 年 7 月 19 日
  • 2016 年 10 月 18 日

参考资料


修改记录


2015 年 10 月 27 日 修订版 6。修改了 CVE-2015-4798 和 CVE-2015-4839 的 CVSS 评分
2015 年 10 月 23 日 修订版 5。修改了 CVE-2015-4873 的 CVSS 评分
2015 年 10 月 22 日 修订版 4。修改了致谢声明
2015 年 10 月 21 日 修订版 3。修改了受 CVE-2015-4841 影响的版本
2015 年 10 月 21 日 修订版 2。修改了 CVE-2015-4896 的 CVSS 评分
2015 年 10 月 20 日 修订版 1。初始版本

 

附录 — Oracle 数据库服务器

 

 

Oracle 数据库服务器执行概要

 

该重要补丁更新包含以下 8 个针对 Oracle 数据库服务器的新安全修复程序:

  • 7 个针对 Oracle 数据库服务器的新安全修复程序。其中 1 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。所有这些修复程序都不适用于仅客户端的安装(即,没有安装 Oracle 数据库服务器的安装)。在此可获取此风险表的英语文本形式。

     

  • 1 个针对 Oracle Database Mobile/Lite Server 的新安全修复程序。此漏洞必需身份验证才可远程利用,即,没有用户名和密码就不能通过网络利用该漏洞。在此可获取此风险表的英语文本形式。

     

 

 

Oracle 数据库服务器风险表


漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2015-4863 Portable Clusterware Oracle Net 10.0 网络 11.2.0.4、12.1.0.1、12.1.0.2  
CVE-2015-4794 Java VM 多个 具备 Create Session 权限 9.0 网络 一次性 11.2.0.4、12.1.0.1、12.1.0.2 参见注释 1
CVE-2015-4796 Java VM Oracle Net 具备 Create Session 权限 9.0 网络 一次性 11.2.0.4、12.1.0.1、12.1.0.2 参见注释 2
CVE-2015-4873 Database Scheduler 7.2 本地 11.2.0.4、12.1.0.1、12.1.0.2  
CVE-2015-4888 Java VM Oracle Net 具备 Create Session 权限 6.5 网络 一次性 部分 部分 部分 11.2.0.4、12.1.0.1、12.1.0.2 参见注释 2
CVE-2015-4900 XDB — XML 数据库 Oracle Net 具备 Create Session、Create Procedure、Create Table、Create Public Synonym 权限 6.5 网络 一次性 部分+ 部分+ 部分+ 11.2.0.4、12.1.0.1、12.1.0.2  
CVE-2015-4857 RDBMS Oracle Net 具备 Create Session 权限 5.5 网络 一次性 部分+ 部分+ 12.1.0.1、12.1.0.2  
 

 

  1. 仅 Windows 上 Database 12c 之前版本的 CVSS 评分为 9.0。Windows 上的 Database 12c 以及 Linux、Unix 和其他平台上的 Database 版本的 CVSS 为 6.5(机密性、完整性和可用性为“部分+”)。
  2. 此问题仅影响 Windows 平台。


 

Oracle Database Mobile/Lite Server 执行概要

 

该重要补丁更新包含 1 个针对 Oracle Database Mobile/Lite Server 的新安全修复程序。此漏洞必需身份验证才可远程利用,即,没有用户名和密码就不能通过网络利用该漏洞。在此可获取此风险表的英语文本形式。

 

Oracle Database Mobile/Lite Server 风险表


漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2015-4894 Mobile Server Oracle Net 具备 Create Session、Create Table、Index 权限 4.9 网络 一次性 部分+ 部分 10.3.0.3、11.3.0.2、12.1.0.0  
 

 


 

附录 — Oracle 融合中间件

 

 

Oracle 融合中间件执行概要

 

该重要补丁更新包含 23 个针对 Oracle 融合中间件的新安全修复程序。其中 16 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

Oracle 融合中间件产品包括受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库组件。Oracle 融合中间件产品暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库安全修复程序未列在 Oracle 融合中间件风险表中。然而,由于影响 Oracle 数据库版本的漏洞可能影响 Oracle 融合中间件产品,Oracle 建议客户将 2015 年 10 月的重要补丁更新应用于 Oracle 融合中间件产品的 Oracle 数据库组件。有关您的环境需要应用哪些补丁的信息,请参阅 2015 年 10 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 2037108.1

 

Oracle 融合中间件风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2014-3576 Oracle Enterprise Data Quality HTTP 安装 7.5 网络 部分 部分 部分 8.1、9.0、11.1.1.7.4、12.1.3.0.0 参见注释 1
CVE-2014-1569 Oracle Traffic Director HTTPS 安全性 7.5 网络 部分 部分 部分 11.1.1.7.0、11.1.1.9.0  
CVE-2015-1791 Oracle Exalogic Infrastructure HTTPS Network Infra Framework 6.8 网络 部分 部分 部分 EECS 2.0.6.2.3 参见注释 2
CVE-2015-0286 Oracle Business Intelligence 企业版 HTTPS BI 平台安全性 5.0 网络 部分 11.1.1.7、11.1.1.9 参见 注释 3
CVE-2015-0286 Oracle Endeca Server HTTPS 数据丰富 5.0 网络 部分 7.3.0.0、7.4.0.0、7.5.1.1、7.6.1.0.0 参见 注释 3
CVE-2015-1829 Oracle HTTP Server HTTP Web Listener 5.0 网络 部分 10.1.3.5、11.1.1.7、11.1.1.9、12.1.2.0、12.1.3.0 参见注释 4
CVE-2015-4909 Oracle JDeveloper HTTP ADF Faces 5.0 网络 部分 11.1.2.4.0、12.1.2.0.0、12.1.3.0.0  
CVE-2014-3571 Oracle Mobile Security Suite HTTPS 公共库 5.0 网络 部分 MSS 3.0 参见注释 5
CVE-2010-1622 Oracle WebCenter Sites HTTP 安全性 4.9 网络 一次性 部分+ 部分+ 7.6.2、11.1.1.6.1、11.1.1.8.0  
CVE-2015-4912 Oracle Access Manager HTTP SSO Engine 4.3 网络 部分 11.1.2.2、11.1.2.3  
CVE-2015-4899 Oracle GlassFish Server LDAP 安全性 4.3 网络 部分 3.0.1、3.1.2  
CVE-2014-0191 Oracle HTTP Server HTTP Web Listener 4.3 网络 部分 11.1.1.7、12.1.2.0、12.1.3.0  
CVE-2015-4832 OracleIdentityManager HTTP OIM 原有 UI 4.3 网络 部分 11.1.1.7、11.1.2.2、11.1.2.3  
CVE-2015-4867 Oracle WebCenter Content HTTP Content Server 4.3 网络 部分 10.1.3.5.1  
CVE-2015-4880 Oracle WebCenter Content HTTP Content Server 4.3 网络 部分 10.1.3.5.1  
CVE-2015-4799 Oracle WebCenter Sites HTTP 安全性 4.3 网络 部分 7.6.2、11.1.1.6.1、11.1.1.8.0  
CVE-2015-4838 Oracle JDeveloper HTTP ADF Faces 4.0 网络 一次性 部分 11.1.2.4.0、12.1.2.0.0、12.1.3.0.0  
CVE-2015-4914 Oracle HTTP Server HTTPS Web Listener 3.5 网络 一次性 部分 10.1.3.5、11.1.1.7、11.1.1.9、12.1.2.0、12.1.3.0  
CVE-2015-4812 Oracle HTTP Server HTTPS OSSL 模块 2.6 网络 部分 11.1.1.9  
CVE-2015-4877 Oracle Outside In Technology Outside In Filter 1.5 本地 一次性 部分 8.5.0、8.5.1、8.5.2 参见注释 6
CVE-2015-4878 Oracle Outside In Technology Outside In Filter 1.5 本地 一次性 部分 8.5.0、8.5.1、8.5.2 参见注释 6
CVE-2015-4809 Oracle Outside In Technology Outside In PDF Export SDK 1.5 本地 一次性 部分 8.5.0、8.5.1、8.5.2 参见注释 6
CVE-2015-4811 Oracle Outside In Technology Outside In PDF Export SDK 1.5 本地 一次性 部分 8.5.0、8.5.1、8.5.2 参见注释 6
 

 

  1. 有关如何解决这个问题的说明,请参阅 My Oracle Support 说明 2056927.1
  2. 这个修复程序还解决了 CVE-2015-1788、CVE-2015-1789、CVE-2015-1790 和 CVE-2015-1792。
  3. 这个修复程序还解决了 CVE-2015-0204、CVE-2015-0207、CVE-2015-0208、CVE-2015-0209、CVE-2015-0285、CVE-2015-0287、CVE-2015-0288、CVE-2015-0289、CVE-2015-0290、CVE-2015-0291、CVE-2015-0292、CVE-2015-0293 和 CVE-2015-1787。
  4. 这个修复程序还解决了 CVE-2015-3183。
  5. 这个修复程序还解决了 CVE-2015-0204、CVE-2015-0205、CVE-2015-0206、CVE-2014-3569、CVE-2014-3570、CVE-2014-3572 和 CVE-2014-8275。
  6. Outside In Technology 是一个软件开发工具包 (SDK) 套件。它没有任何特定的相关协议。如果托管软件通过网络将收到的数据传递给 Outside In Technology 代码,则 CVSS v2.0 基本评分将升高到 6.8。

 

附录 — Oracle Hyperion

 

 

Oracle Hyperion 执行概要

 

该重要补丁更新包含 1 个针对 Oracle Hyperion 的新安全修复程序。此漏洞必需身份验证才可远程利用,即,没有用户名和密码就不能通过网络利用该漏洞。在此可获取此风险表的英语文本形式。

 

Oracle Hyperion 风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2015-4823 Hyperion Installation Technology Essbase Rapid Deploy 1.2 本地 部分 11.1.2.3  
 

 


 

附录 — Oracle Enterprise Manager Grid Control

 

 

Oracle Enterprise Manager Grid Control 执行概要

 

该重要补丁更新包含 5 个针对 Oracle Enterprise Manager Grid Control 的新安全修复程序。其中 3 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。所有这些修复程序都不适用于仅客户端的安装(即,没有安装 Oracle Enterprise Manager Grid Control 的安装)。在此可获取此风险表的英语文本形式。

Oracle Enterprise Manager 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库和 Oracle 融合中间件部分中所列漏洞的影响。Oracle Enterprise Manager 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle Enterprise Manager 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle Enterprise Manager 产品,Oracle 建议客户将 2015 年 10 月的重要补丁更新应用于 Enterprise Manager 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 2015 年 10 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 2037108.1

 

Oracle Enterprise Manager Grid Control 风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2015-1793 OSS Support Tools HTTPS Oracle Explorer 6.8 网络 部分 部分 部分 8.8.15.7.15 之前的版本  
CVE-2015-4859 Enterprise Manager Base Platform HTTP Agent Next Gen 5.8 网络 部分+ 部分+ 12.1.0.4、12.1.0.5  
CVE-2015-4875 Enterprise Manager Base Platform HTTP Agent Next Gen 5.0 网络 部分+ 12.1.0.4、12.1.0.5  
CVE-2015-4874 Enterprise Manager Base Platform HTTP Agent Next Gen 4.1 本地 一次性 部分+ 部分+ 部分+ 12.1.0.4、12.1.0.5  
CVE-2015-2633 Enterprise Manager Ops Center HTTP Ops Center 3.6 网络 一次性 部分+ 部分 12.1.0.1、12.2.2  
 

 


 

附录 — Oracle 应用

 

 

Oracle E-Business Suite 执行概要

 

该重要补丁更新包含 12 个针对 Oracle E-Business Suite 的新安全修复程序。其中 6 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

Oracle E-Business Suite 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库和 Oracle 融合中间件部分中所列漏洞的影响。Oracle E-Business Suite 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle E-Business Suite 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle E-Business Suite 产品,Oracle 建议客户将 2015 年 10 月的重要补丁更新应用于 Oracle E-Business Suite 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 Oracle E-Business Suite 11i 和 12 版重要补丁更新知识文档(2015 年 10 月)My Oracle Support 说明 2051000.1

 

Oracle E-Business Suite 风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2015-4798 Oracle Applications Technology Stack SQLNet DB Listener 10.0 网络 11.5.10.2 参见注释 1
CVE-2015-4839 Oracle Applications Technology Stack SQLNet DB Listener 10.0 网络 11.5.10.2 参见注释 1
CVE-2015-4849 Oracle Payments HTTP Punch-in 6.8 网络 部分+ 部分+ 部分+ 11.5.10.2、12.0.6、12.1.3、12.2.3、12.2.4  
CVE-2015-4851 Oracle iSupplier Portal HTTP XML 输入 6.8 网络 部分+ 部分+ 部分+ 12.0.6、12.1.3、12.2.3、12.2.4  
CVE-2015-4886 Oracle Report Manager HTTP Reports Security 6.4 网络 部分 部分 11.5.10.2、12.0.6、12.1.3、12.2.3、12.2.4  
CVE-2015-4884 Oracle Application Object Library HTTP Single Signon 5.0 网络 部分 11.5.10.2、12.0.6、12.1.3、12.2.3、12.2.4  
CVE-2015-4845 Oracle Application Object Library HTTP Java APIs — AOL/J 4.3 网络 部分 11.5.10.2、12.0.6、12.1.3、12.2.3、12.2.4  
CVE-2015-4854 Oracle Application Object Library HTTP Single Signon 4.3 网络 部分 12.0.6、12.1.3、12.2.3、12.2.4  
CVE-2015-4762 Oracle Applications DBA HTTP 联机安装补丁 4.0 网络 一次性 部分 12.2.3、12.2.4  
CVE-2015-4898 Oracle Applications Framework HTTP Diagnostics、DMZ 4.0 网络 一次性 部分 11.5.10.2、12.0.6、12.1.3、12.2.3、12.2.4  
CVE-2015-4846 Oracle Applications Manager HTTP SQL 扩展 3.6 网络 一次性 部分 部分 11.5.10.2、12.0.6、12.1.3、12.2.3、12.2.4  
CVE-2015-4865 Oracle Applications Framework HTTP 业务对象 — BC4J 2.1 网络 一次性 部分 12.1.3、12.2.3、12.2.4  
 

 

  1. Windows 平台的 CVSS 评分为 10.0。Linux、Unix 和其他平台上的 CVSS 评分为 7.5(机密性、完整性和可用性为“部分+”)。


 

Oracle Supply Chain 产品套件执行概要

 

该重要补丁更新包含 8 个针对 Oracle Supply Chain 产品套件的新安全修复程序。其中 3 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

 

Oracle Supply Chain 产品套件风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2015-1791 Oracle Transportation Management HTTP 安装 6.8 网络 部分 部分 部分 6.1、6.2 参见注释 1
CVE-2015-4848 Oracle Configurator HTTP 与 Peoplesoft 集成 5.0 网络 部分 12.0.6、12.1.3、12.2.3、12.2.4  
CVE-2015-1793 Oracle Agile Engineering Data Management HTTP 安装 4.9 网络 一次性 部分 部分 6.1.2.2、6.1.3.0、6.2.0.0  
CVE-2015-4847 Oracle Configurator HTTP OCI 4.3 网络 部分 12.0.6、12.1.3、12.2.3、12.2.4  
CVE-2015-4892 Oracle Agile PLM HTTP 安全性 3.5 网络 一次性 部分 9.3.4  
CVE-2015-4797 Oracle Agile PLM HTTP 安全性 3.5 网络 一次性 部分 9.3.3  
CVE-2015-4917 Oracle Agile PLM HTTP 安全性 3.5 网络 一次性 部分 9.3.4  
CVE-2015-4824 Oracle Agile PLM HTTP 安全性 2.1 网络 一次性 部分+ 9.3.4  
 

 

  1. 这个修复程序还解决了 CVE-2015-1788、CVE-2015-1789、CVE-2015-1790、CVE-2015-1792 和 CVE-2015-1793。


 

Oracle PeopleSoft 产品执行概要

 

该重要补丁更新包含 8 个针对 Oracle PeopleSoft 产品的新安全修复程序。其中 1 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

 

Oracle PeopleSoft 产品风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2015-1791 PeopleSoft Enterprise PeopleTools HTTP 安全性 6.8 网络 部分 部分 部分 8.53、8.54 参见注释 1
CVE-2015-4887 PeopleSoft Enterprise HCM HTTP ePerformance 6.0 网络 一次性 部分+ 部分+ 部分+ 9.2  
CVE-2015-4850 PeopleSoft Enterprise HCM HTTP Talent Acquisition Management 5.5 网络 一次性 部分 部分 9.2  
CVE-2015-4818 PeopleSoft Enterprise PeopleTools HTTP PIA Core Technology 5.5 网络 一次性 部分 部分 8.54  
CVE-2015-4828 PeopleSoft Enterprise FSCM HTTP FIN Resource Management (Security) 4.0 网络 一次性 部分 9.2  
CVE-2015-4804 PeopleSoft Enterprise HCM Talent Acquistion Managment HTTP 安全性 4.0 网络 一次性 部分 9.2  
CVE-2015-4876 PeopleSoft Enterprise PeopleTools HTTP Pivot Grid 4.0 网络 一次性 部分 8.53、8.54  
CVE-2015-4825 PeopleSoft Enterprise FIN Expenses HTTP Expense Report General 3.5 网络 一次性 部分 9.2  
 

 

  1. 这个修复程序还解决了 CVE-2015-1788、CVE-2015-1789、CVE-2015-1790、CVE-2015-1792 和 CVE-2015-1793。


 

Oracle Siebel CRM 执行概要

 

该重要补丁更新包含 1 个针对 Oracle Siebel CRM 的新安全修复程序。此漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和密码。在此可获取此风险表的英语文本形式。

 

Oracle Siebel CRM 风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2015-4841 Siebel Core — Server Framework HTTP Services 4.3 网络 部分 IP2014、IP2015  
 

 


 

附录 — Oracle 行业应用

 

 

Oracle 行业应用执行概要

 

该重要补丁更新包含以下 14 个针对 Oracle 行业应用的新安全修复程序:

  • 1 个针对 Oracle 行业应用的新安全修复程序。此漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和密码。在此可获取此风险表的英语文本形式。

     

  • 9 个针对 Oracle 通信应用的新安全修复程序。其中 8 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

     

  • 4 个针对 Oracle 零售应用的新安全修复程序。所有这些漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

     

 

 

Oracle 行业应用风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2015-4795 Oracle 公用事业作业和资产管理 HTTP 附加应用 7.5 网络 部分 部分 部分 1.9.1.1.2  
 

 



 

Oracle 通信应用执行概要

 

该重要补丁更新包含 9 个针对 Oracle 通信应用的新安全修复程序。其中 8 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

 

Oracle 通信应用风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2015-2608 Oracle Communications Diameter Signaling Router (DSR) HTTP PMAC 10.0 网络 4.1.6 及早期版本、5.1.0 及早期版本、6.0.2 及早期版本、7.1.0 及早期版本  
CVE-2015-2608 Oracle Communications Performance Intelligence Center Software HTTP PMAC 10.0 网络 9.0.3 及早期版本、10.1.5 及早期版本  
CVE-2015-2608 Oracle Communications Policy Management HTTP PMAC 10.0 网络 9.9.0 及早期版本、10.5.0 及早期版本、11.5.0 及早期版本、12.1.0 及早期版本  
CVE-2015-2608 Oracle Communications Tekelec HLR Router HTTP PMAC 10.0 网络 4.0.0  
CVE-2015-2608 Oracle Communications User Data Repository HTTP PMAC 10.0 网络 10.2.0 及早期版本  
CVE-2014-7940 Oracle Communications Messaging Server HTTP 7.5 网络 部分 部分 部分 7.0.5、8.0 参见注释 1
CVE-2015-0235 Oracle Communications LSMS 多个 Glibc 6.0 网络 一次性 部分 部分 部分 13.1  
CVE-2015-4793 Oracle Communications Convergence HTTP Mail Proxy 4.3 网络 部分 2.0、3.0.1  
CVE-2015-4000 Oracle Communications Messaging Server SSL/TLS 安全性 4.3 网络 部分 7.0.5、8.0 参见注释 2
 

 

  1. 这个修复程序还解决了 CVE-2014-7923、CVE-2014-7926、CVE-2014-8146 和 CVE-2014-8147。
  2. 这个修复程序还解决了 CVE-2015-2522。


 

Oracle 零售应用执行概要

 

该重要补丁更新包含 4 个针对 Oracle 零售应用的新安全修复程序。所有这些漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

 

Oracle 零售应用风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2014-0050 Oracle Retail Back Office HTTP 安全性 7.5 网络 部分 部分 部分 RM2.0、12.0IN、12.0、13.0、13.1、13.2、13.3、13.4、14.0。  
CVE-2014-0050 Oracle Retail Central Office HTTP 安全性 7.5 网络 部分 部分 部分 RM2.0、12.0IN、12.0、13.0、13.1、13.2、13.3、13.4、14.0。  
CVE-2014-0050 Oracle Retail Returns Management HTTP 安全性 7.5 网络 部分 部分 部分 RM2.0、12.0IN、12.0、13.0、13.1、13.2、13.3、13.4、14.0。  
CVE-2015-4827 Oracle Retail Open Commerce Platform HTTP Framework 6.4 网络 部分 部分 3.0  
 

 


 

附录 — Oracle Java SE

 

 

Oracle Java SE 执行概要

 

该重要补丁更新包含 25 个针对 Oracle Java SE 的新安全修复程序。其中 24 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。


以下 CVSS 评分假定运行 Java 小程序或 Java Web Start 应用的用户拥有管理员权限(这是 Windows 上的典型情况)。如果用户未以管理员权限运行(Solaris 和 Linux 的典型情况),则对机密性、完整性以及可用性的对应 CVSS 评分的影响是“部分”而非“全”,降低了 CVSS 基本评分。例如,基本评分 10.0 变成 7.5。


用户应使用最新 JDK 或 JRE 7 和 8 版本中的默认 Java 插件和 Java Web Start。

 

Oracle Java SE 风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2015-4835 Java SE、Java SE Embedded 多个 CORBA 10.0 网络 Java SE 6u101、Java SE 7u85、Java SE 8u60、Java SE Embedded 8u51 参见注释 1
CVE-2015-4881 Java SE、Java SE Embedded 多个 CORBA 10.0 网络 Java SE 6u101、Java SE 7u85、Java SE 8u60、Java SE Embedded 8u51 参见注释 1
CVE-2015-4843 Java SE、Java SE Embedded 多个 10.0 网络 Java SE 6u101、Java SE 7u85、Java SE 8u60、Java SE Embedded 8u51 参见注释 1
CVE-2015-4883 Java SE、Java SE Embedded 多个 RMI 10.0 网络 Java SE 6u101、Java SE 7u85、Java SE 8u60、Java SE Embedded 8u51 参见注释 1
CVE-2015-4860 Java SE、Java SE Embedded 多个 RMI 10.0 网络 Java SE 6u101、Java SE 7u85、Java SE 8u60、Java SE Embedded 8u51 参见注释 1
CVE-2015-4805 Java SE、Java SE Embedded 多个 序列化 10.0 网络 Java SE 6u101、Java SE 7u85、Java SE 8u60、Java SE Embedded 8u51 参见注释 1
CVE-2015-4844 Java SE、Java SE Embedded 多个 2D 10.0 网络 Java SE 6u101、Java SE 7u85、Java SE 8u60、Java SE Embedded 8u51 参见注释 1
CVE-2015-4901 Java SE 多个 JavaFX 9.3 网络 Java SE 8u60 参见注释 1
CVE-2015-4868 Java SE、Java SE Embedded 多个 7.6 网络 Java SE 8u60、Java SE Embedded 8u51 参见注释 2
CVE-2015-4810 Java SE 部署 6.9 本地 Java SE 7u85、Java SE 8u60 参见注释 1
CVE-2015-4806 Java SE、Java SE Embedded 多个 6.4 网络 部分 部分 Java SE 6u101、Java SE 7u85、Java SE 8u60、Java SE Embedded 8u51 参见注释 1
CVE-2015-4871 Java SE 多个 5.8 网络 部分 部分 Java SE 7u85 参见注释 1
CVE-2015-4902 Java SE 多个 部署 5.0 网络 部分 Java SE 6u101、Java SE 7u85、Java SE 8u60 参见注释 1
CVE-2015-4840 Java SE、Java SE Embedded 多个 2D 5.0 网络 部分 Java SE 7u85、Java SE 8u60、Java SE Embedded 8u51 参见注释 1
CVE-2015-4882 Java SE、Java SE Embedded 多个 CORBA 5.0 网络 部分 Java SE 6u101、Java SE 7u85、Java SE 8u60、Java SE Embedded 8u51 参见注释 1
CVE-2015-4842 Java SE、Java SE Embedded 多个 JAXP 5.0 网络 部分 Java SE 6u101、Java SE 7u85、Java SE 8u60、Java SE Embedded 8u51 参见注释 1
CVE-2015-4734 Java SE、Java SE Embedded 多个 JGSS 5.0 网络 部分 Java SE 6u101、Java SE 7u85、Java SE 8u60、Java SE Embedded 8u51 参见注释 1
CVE-2015-4903 Java SE、Java SE Embedded 多个 RMI 5.0 网络 部分 Java SE 6u101、Java SE 7u85、Java SE 8u60、Java SE Embedded 8u51 参见注释 1
CVE-2015-4803 Java SE、Java SE Embedded、JRockit 多个 JAXP 5.0 网络 部分 Java SE 6u101、Java SE 7u85、Java SE 8u60、Java SE Embedded 8u51、JRockit R28.3.7 参见注释 2
CVE-2015-4893 Java SE、Java SE Embedded、JRockit 多个 JAXP 5.0 网络 部分 Java SE 6u101、Java SE 7u85、Java SE 8u60、Java SE Embedded 8u51、JRockit R28.3.7 参见注释 2
CVE-2015-4911 Java SE、Java SE Embedded、JRockit 多个 JAXP 5.0 网络 部分 Java SE 6u101、Java SE 7u85、Java SE 8u60、Java SE Embedded 8u51、JRockit R28.3.7 参见注释 2
CVE-2015-4872 Java SE、Java SE Embedded、JRockit 多个 安全性 5.0 网络 部分 Java SE 6u101、Java SE 7u85、Java SE 8u60、Java SE Embedded 8u51、JRockit R28.3.7 参见注释 2
CVE-2015-4906 Java SE、JavaFX 多个 JavaFX 5.0 网络 部分 Java SE 8u60、JavaFX 2.2.85 参见注释 1
CVE-2015-4916 Java SE、JavaFX 多个 JavaFX 5.0 网络 部分 Java SE 8u60、JavaFX 2.2.85 参见注释 1
CVE-2015-4908 Java SE、JavaFX 多个 JavaFX 5.0 网络 部分 Java SE 8u60、JavaFX 2.2.85 参见注释 1
 

 

  1. 仅适用于 Java 的客户端部署。该漏洞仅可通过沙盒 Java Web Start 应用和沙盒 Java 小程序利用。
  2. 适用于 Java 的客户端和服务器部署。该漏洞可通过沙盒 Java Web Start 应用和沙盒 Java 小程序利用。它还可以通过向指定组件中的 API 提供数据而利用,无需使用沙盒 Java Web Start 应用或沙盒 Java 小程序,如通过 Web 服务。

 

附录 — Oracle Sun 系统产品套件

 

 

Oracle Sun 系统产品套件执行概要

 

该重要补丁更新包含 15 个针对 Oracle Sun 系统产品套件的新安全修复程序。其中 4 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

 

Oracle Sun 系统产品套件风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2015-4915 Integrated Lights Out Manager (ILOM) 多个 系统管理 10.0 网络 3.0、3.1、3.2  
CVE-2015-4821 Integrated Lights Out Manager (ILOM) HTTP Web 9.3 网络 3.0、3.1、3.2  
CVE-2015-4837 Solaris 实用程序/安全性 6.6 本地 一次性 11.2  
CVE-2015-4817 Solaris 内核区域虚拟化 NIC 驱动程序 6.2 本地 11.2  
CVE-2015-4820 Solaris Solaris 内核区域 6.2 本地 11.2  
CVE-1999-0377 Solaris 多个 INETD 5.0 网络 部分 10、11.2  
CVE-2015-4869 Solaris 内核 4.9 本地 10、11.2  
CVE-2015-4831 Solaris Solaris 内核区域 4.9 本地 11.2  
CVE-2015-4891 Solaris NSCD 4.6 本地 部分 部分 部分 11.2  
CVE-2015-4907 Solaris Solaris 内核区域 4.6 本地 部分 部分 部分+ 11.2  
CVE-2015-2642 Solaris 多个 Gzip 4.4 本地 部分 部分 部分 10、11.2  
CVE-2015-4000 Fujitsu M10-1、M10-4、M10-4S 服务器 SSL/TLS XCP 固件 4.3 网络 部分 XCP 2271 之前的版本  
CVE-2015-4834 Solaris 实用程序/区域 3.7 本地 部分 部分 部分 11.2  
CVE-2015-4801 Solaris Solaris 内核区域 2.1 本地 部分 11.2  
CVE-2015-4822 Solaris Solaris 内核区域 1.2 本地 部分 11.2  
 

 


 

附录 — Oracle Pillar Axiom

 

 

Oracle Pillar Axiom 执行概要

 

该重要补丁更新包含 1 个针对 Oracle Pillar Axiom 的新安全修复程序。此漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和密码。在此可获取此风险表的英语文本形式。

 

Oracle Pillar Axiom 风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2015-0235 Oracle FS1-2 闪存系统 多个 Glibc 10.0 网络 6.1、6.2、6.3  
 

 


 

附录 — Oracle Linux 和 Oracle 虚拟化

 

 

Oracle 虚拟化执行概要

 

该重要补丁更新包含 3 个针对 Oracle 虚拟化的新安全修复程序。其中 1 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

 

Oracle 虚拟化风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2015-4896 Oracle VM VirtualBox Core 5.0 网络 部分+ VirtualBox 4.0.34、4.1.42、4.2.34、4.3.32、5.0.8 之前的版本 参见注释 1
CVE-2015-4856 Oracle VM VirtualBox Core 4.9 本地 VirtualBox 4.0.30、4.1.38、4.2.30、4.3.26、5.0.0 之前的版本  
CVE-2015-4813 Oracle VM VirtualBox Core 2.1 本地 部分+ VirtualBox 4.0.34、4.1.42、4.2.34、4.3.32、5.0.8 之前的版本 参见注释 2
 

 

  1. 只有启用了远程显示特性 (RDP) 的 VM 才会受 CVE-2015-4896 的影响。
  2. 只有 Windows 来宾系统才会受 CVE-2015-4813 的影响。未安装 VirtualBox Guest Additions 的 Windows 来宾系统不受影响。

 

附录 — Oracle MySQL

 

 

Oracle MySQL 执行概要

 

该重要补丁更新包含 30 个针对 Oracle MySQL 的新安全修复程序。其中 2 个漏洞无需身份验证即可被远程利用,即无需输入用户名和密码即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

 

Oracle MySQL 风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2015-3144 MySQL Enterprise Monitor HTTP C-Agent 9.0 网络 一次性 2.3.20 及早期版本、3.0.22 及早期版本 参见注释 1
CVE-2015-4819 MySQL Server 客户端程序 7.2 本地 5.5.44 及早期版本、5.6.25 及早期版本 参见注释 2
CVE-2015-1793 MySQL Server MySQL 协议 服务器:安全性:加密 6.4 网络 部分 部分 5.6.25 及早期版本 参见 注释 3
CVE-2015-0286 MySQL Enterprise Monitor HTTPS C-Agent / Service Manager 5.0 网络 部分 2.3.20 及早期版本、3.0.20 及早期版本 参见注释 4
CVE-2015-4879 MySQL Server MySQL 协议 服务器:DML 4.6 网络 一次性 部分+ 部分+ 部分+ 5.5.44 及早期版本、5.6.25 及早期版本  
CVE-2015-4815 MySQL Server MySQL 协议 服务器:DDL 4.0 网络 一次性 部分+ 5.5.45 及早期版本、5.6.26 及早期版本  
CVE-2015-4905 MySQL Server MySQL 协议 服务器:DML 4.0 网络 一次性 部分+ 5.6.23 及早期版本  
CVE-2015-4858 MySQL Server MySQL 协议 服务器:DML 4.0 网络 一次性 部分+ 5.5.45 及早期版本、5.6.26 及早期版本  
CVE-2015-4862 MySQL Server MySQL 协议 服务器:DML 4.0 网络 一次性 部分+ 5.6.26 及早期版本  
CVE-2015-4866 MySQL Server MySQL 协议 服务器:InnoDB 4.0 网络 一次性 部分+ 5.6.23 及早期版本  
CVE-2015-4816 MySQL Server MySQL 协议 服务器:InnoDB 4.0 网络 一次性 部分+ 5.5.44 及早期版本  
CVE-2015-4800 MySQL Server MySQL 协议 服务器:优化器 4.0 网络 一次性 部分+ 5.6.26 及早期版本  
CVE-2015-4870 MySQL Server MySQL 协议 服务器:解析器 4.0 网络 一次性 部分+ 5.5.45 及早期版本、5.6.26 及早期版本  
CVE-2015-4802 MySQL Server MySQL 协议 服务器:分区 4.0 网络 一次性 部分+ 5.5.45 及早期版本、5.6.26 及早期版本  
CVE-2015-4833 MySQL Server MySQL 协议 服务器:分区 4.0 网络 一次性 部分+ 5.6.25 及早期版本  
CVE-2015-4830 MySQL Server MySQL 协议 服务器:安全性:权限 4.0 网络 一次性 部分 5.5.45 及早期版本、5.6.26 及早期版本  
CVE-2015-4730 MySQL Server MySQL 协议 服务器:类型 4.0 网络 一次性 部分+ 5.6.20 及早期版本  
CVE-2015-4826 MySQL Server MySQL 协议 服务器:类型 4.0 网络 一次性 部分 5.5.45 及早期版本、5.6.26 及早期版本  
CVE-2015-4904 MySQL Server MySQL 协议 libmysqld 4.0 网络 一次性 部分+ 5.6.25 及早期版本  
CVE-2015-4913 MySQL Server MySQL 协议 服务器:DML 3.5 网络 一次性 部分+ 5.5.45 及早期版本、5.6.26 及早期版本  
CVE-2015-4895 MySQL Server MySQL 协议 服务器:InnoDB 3.5 网络 一次性 部分+ 5.6.25 及早期版本  
CVE-2015-4861 MySQL Server MySQL 协议 服务器:InnoDB 3.5 网络 一次性 部分+ 5.5.45 及早期版本、5.6.26 及早期版本  
CVE-2015-4807 MySQL Server MySQL 协议 服务器:查询缓存 3.5 网络 一次性 部分+ 5.5.45 及早期版本、5.6.26 及早期版本 参见注释 5
CVE-2015-4890 MySQL Server MySQL 协议 服务器:复制 3.5 网络 一次性 部分+ 5.6.26 及早期版本  
CVE-2015-4791 MySQL Server MySQL 协议 服务器:安全性:权限 3.5 网络 一次性 部分+ 5.6.26 及早期版本 参见注释 5
CVE-2015-4864 MySQL Server MySQL 协议 服务器:安全性:权限 3.5 网络 一次性 部分 5.5.43 及早期版本、5.6.24 及早期版本  
CVE-2015-4836 MySQL Server MySQL 协议 服务器:SP 2.8 网络 多个 部分+ 5.5.45 及早期版本、5.6.26 及早期版本  
CVE-2015-4910 MySQL Server Memcached 服务器:Memcached 2.1 网络 一次性 部分+ 5.6.26 及早期版本  
CVE-2015-4766 MySQL Server MySQL 协议 服务器:安全性:防火墙 1.9 本地 部分+ 5.6.25 及早期版本  
CVE-2015-4792 MySQL Server MySQL 协议 服务器:分区 1.7 网络 多个 部分+ 5.5.45 及早期版本、5.6.26 及早期版本  
 

 

  1. 这个修复程序还解决了 CVE-2014-3707、CVE-2014-8150、CVE-2015-3153 和 CVE-2015-3236。如果 MySQL Enterprise Monitor 使用管理员或 root 权限运行,CVSS 评分为 9.0。如果 MySQL Enterprise Monitor 以非管理员权限运行,评分将为 6.5,且对机密性、完整性和可用性的影响将为“部分+”。版本 3.0.x 的子组件是“代理/聚合器”。
  2. 如果实用程序使用管理员或 root 权限运行,CVSS 评分为 7.2。如果实用程序以非管理员权限运行,评分将为 4.6,且对机密性、完整性和可用性的影响将为“部分+”。
  3. 这个修复程序还解决了 CVE-2015-0286、CVE-2015-0288 和 CVE-2015-1789。
  4. 这个修复程序还解决了 CVE-2015-0288。版本 2.3 的修复程序还解决了 CVE-2015-1793。
  5. 此问题仅影响 Windows 平台。
<<<