Oracle Technology Network (OTN) > Downloads, Discussions, and Documentation for Developers and DBAs

重要补丁更新和安全警报 安全警报 Chicklet

重要补丁更新
安全警报
MetaLink 安全说明
已修复的公共安全漏洞
策略
报告安全漏洞

本页面以重要补丁更新 (CPU) 和安全警报的形式列出 Oracle 已发布的安全补丁。本页面将在发布了新的重要补丁更新和安全警报时更新,可以通过电子邮件接收发布通知。

单击此处获得关于如何配置电子邮件通知的指导。
单击此处阅读技术白皮书“重要补丁更新实施最佳实践”

重要补丁更新

我们主要以重要补丁更新形式向具有有效支持合同的客户发布 Oracle 产品安全修复程序。它们在距 1 月、4 月、7 月和 10 月的第 15 日最近的星期二发布。接下来的四个日期为:

  • 2008 年 4 月 15 日
  • 2008 年 7 月 15 日
  • 2008 年 10 月 14 日
  • 2009 年 1 月 13 日
每个 CPU 版发布之前的周四将发布预览版通告。

下表列出了到目前为止发布的重要补丁更新。请注意,自 2008 年 1 月的 CPU 开始,重要补丁更新公告将停止在 MetaLink 或客户连接上发布,而仅在 OTN 上发布。

重要补丁更新 MetaLink 说明 ID 最新版本/日期
重要补丁更新 — 2008 年 1 月 无 MetaLink 副本 修订版 1,2008 年 1 月 15 日
重要补丁更新 — 2007 年 10 月 455284.1 修订版 1,2007 年 10 月 16 日
重要补丁更新 — 2007 年 7 月 432865.1 修订版 2,2007 年 7 月 19 日
重要补丁更新 — 2007 年 4 月 420055.1 修订版 2,2007 年 4 月 18 日
重要补丁更新 — 2007 年 1 月 403335.1 修订版 2,2007 年 3 月 5 日
重要补丁更新 — 2006 年 10 月 391558.1 修订版 4,2006 年 3 月 6 日
重要补丁更新 — 2006 年 7 月 372927.1 修订版 1,2006 年 7 月 18 日
重要补丁更新 — 2006 年 4 月 360044.1 修订版 1,2006 年 4 月 18 日
重要补丁更新 — 2006 年 1 月 343382.1 修订版 1,2006 年 1 月 17 日
重要补丁更新 — 2005 年 10 月 333953.1 修订版 2,2005 年 12 月 19 日
重要补丁更新 — 2005 年 7 月 311034.1 修订版 1,2005 年 7 月 12 日
重要补丁更新 — 2005 年 4 月 301040.1 修订版 2,2005 年 4 月 13 日
重要补丁更新 — 2005 年 1 月 293953.1 修订版 2,2005 年 3 月 15 日


安全警报


在 2005 年之前,安全警报是 Oracle 产品安全修复程序发布的主要方式。每一个安全警报都有一个严重性等级,指示警报中漏洞的安全风险。下表列出了到目前为止发布的安全警报。单击此处了解严重性等级的定义

安全警报编号与说明 MetaLink 说明 ID 最新版本/日期
第 68 号警报,Oracle 安全更新 281188.1 修订版 4,2005 年 3 月 2 日
第 67 号警报,Oracle 电子商务套件中的未授权访问漏洞 274356.1 修订版 1,2004 年 6 月 3 日
第 66 号警报,Oracle Application Server Web Cache 中的安全漏洞 265308.1 修订版 2,2004 年 4 月 2 日
第 65 号警报,Oracle9i 应用服务器和数据库服务器中的安全漏洞 258997.1 修订版 4,2004 年 6 月 2 日
第 64 号警报,Oracle9i 数据库服务器中的安全漏洞 263508.1 修订版 2,2004 年 5 月 20 日
第 63 号警报,Oracle9i Lite 中的安全漏洞 263509.1 修订版 1,2004 年 2 月 18 日
第 62 号警报,为 CERT CA-2003-26 和更早的 SSL 问题提供的 SSL 更新 258996.1 修订版 1,2003 年 12 月 4 日
第 61 号警报,Oracle9i 应用服务器中的 SQL 注入漏洞 253982.1 修订版 3,2003 年 11 月 13 日
第 60 号警报,对 Oracle 文件中受限内容的未授权访问 252706.1 修订版 1,2003 年 10 月 28 日
第 59 号警报,Oracle Database Server Binaries 中的缓冲区溢出 251910.1 修订版 3,2003 年 11 月 13 日
第 58 号警报,Oracle9i 数据库服务器的 XML 数据库中的缓冲区溢出 246202.1 修订版 1,2003 年 8 月 18 日
第 57 号警报,Oracle 数据库服务器 EXTPROC 中的缓冲区溢出 244523.1 修订版 2,2003 年 8 月 7 日
第 56 号警报,Oracle 电子商务套件中的缓冲区溢出漏洞 244335.1 修订版 1,2003 年 7 月 23 日
第 55 号警报,Oracle 电子商务套件中的未授权信息泄漏 244294.1 修订版 1,2003 年 7 月 23 日
第 54 号警报,Oracle 数据库服务器 Net 服务中的缓冲区溢出 237172.1 修订版 2,2003 年 4 月 30 日
第 53 号警报,Oracle 电子商务套件中的报表检查代理漏洞 235262.1 修订版 1,2003 年 4 月 10 日
第 52 号警报,Oracle9i 应用服务器中的安全漏洞 229288.1 修订版 3,2003 年 3 月 3 日
第 51 号警报,Oracle9i 数据库服务器的 Oracle 可执行文件中的缓冲区溢出 229287.1 修订版 6,2003 年 4 月 18 日
第 50 号警报,Oracle9i 数据库服务器中的缓冲区溢出 229286.1 修订版 6,2003 年 4 月 18 日
第 49 号警报,Oracle9i 数据库服务器中的缓冲区溢出 229285.1 修订版 6,2003 年 4 月 18 日
第 48 号警报,Oracle9i 数据库服务器中的缓冲区溢出 229284.1 修订版 6,2003 年 4 月 18 日
第 47 号警报,Oracle9i 应用服务器中的安全漏洞 224215.1 修订版 3,2003 年 7 月 23 日
第 46 号警报,iSQL*Plus(Oracle9i 数据库服务器)中的缓冲区溢出 216775.1 修订版 3,2002 年 11 月 11 日
第 45 号警报,Apache 1.3.27 的安全版本 214356.1 修订版 6,2004 年 5 月 20 日
第 44 号警报,Oracle 电子商务套件 11i 版本中的未授权访问漏洞 213415.1 修订版 1,2002 年 10 月 4 日
第 43 号警报,Oracle9i 应用服务器 Web Cache 管理工具漏洞 213413.1 修订版 1,2002 年 10 月 4 日
第 42 号警报,对 Oracle Net 服务的拒绝服务攻击 213411.1 修订版 3,2002 年 12 月 16 日
第 41 号警报,Oracle9i 应用服务器 Oracle Java 服务器页面演示漏洞 207272.1 修订版 1,2002 年 8 月 14 日
第 40 号警报,Oracle Net 监听器漏洞 207269.1 修订版 3,2002 年 8 月 8 日
第 39 号警报,Web Cache Oracle9i 应用服务器口令漏洞 207271.1 修订版 1,2002 年 8 月 8 日
第 38 号警报,Oracle Net 拒绝服务安全漏洞 207268.1 修订版 3,2002 年 8 月 8 日
第 37 号警报,OpenSSL 缓冲区溢出 206034.1 2002 年 8 月 9 日
第 36 号警报,Oracle9i 应用服务器的 Apache HTTP 服务器中的安全漏洞 200873.1 2002 年 7 月 12 日
第 35 号警报,Oracle9iAS 报表服务器中的缓冲区溢出漏洞 198531.1 2002 年 6 月 5 日
第 34 号警报,Oracle Net(Oracle9i 数据库服务器)中的缓冲区溢出漏洞 198544.1 2002 年 6 月 5 日
第 33 号警报,Oracle9i 数据库服务器中的用户权限漏洞 185074.1 2002 年 4 月 17 日
第 32 号警报,Oracle 电子商务套件中的未授权访问漏洞 185073.1 2002 年 4 月 17 日
第 31 号警报,Oracle Configurator 跨站点脚本漏洞 182244.1 2002 年 4 月 1 日
第 30 号警报,Oracle9i 数据库的 Oracle Enterprise Manager、Master_Peer Agent 中的 SNMP 漏洞 183556.1 2002 年 3 月 5 日
第 29 号警报,Oracle9i 数据库的 PL/SQL EXTPROC 中的漏洞 175429.1 2003 年 8 月 7 日
第 28 号警报,Oracle9i 应用服务器的 Oracle mod_plsql 和 JSP 中的漏洞 175428.1 2002 年 7 月 5 日
第 27 号警报,Oracle9i 应用服务器 Webcache 中的漏洞 169628.1 2001 年 12 月 28 日
第 26 号警报,对 Oracle9i 应用服务器的拒绝服务攻击 168862.1 2004 年 6 月 4 日
第 25 号警报,mod_plsql 中的漏洞 168863.1 2001 年 6 月 4 日
第 24 号警报从未发布过 - -
第 23 号警报,Oracle 数据库服务器 DBSNMP 漏洞 167001.1
167004.1
167007.1
2002 年 5 月 1 日
2002 年 5 月 1 日
2002 年 5 月 1 日
第 22 号警报,Oracle9i 应用服务器默认 SOAP 配置 166869.1 2002 年 9 月 23 日
第 21 号警报,Oracle Label Security 必需的安全补丁 163726.1 2001 年 10 月 18 日
第 20 号警报,Oracle 文件覆盖安全漏洞 163727.1 2001 年 10 月 18 日
第 19 号警报,Oracle Trace Collection 安全漏洞 163728.1 2001 年 11 月 29 日
第 18 号警报,Oracle9iAS Web Cache 溢出漏洞 163729.1 2001 年 10 月 18 日
第 17 号警报,Oracle Internet Directory 缓冲区溢出漏洞 152780.1 2001 年 10 月 3 日
第 16 号警报,Oracle SQL*Net 和 Net8 畸形数据包拒绝服务漏洞 151260.1 2002 年 9 月 5 日
第 15 号警报,Oracle8i 监听器中的缓冲区溢出漏洞 151259.1 2002 年 9 月 5 日
第 14 号警报,Oracle SQL*Net/Net8 拒绝服务漏洞 151261.1
151290.1
151291.1
151292.1
2002 年 2 月 3 日
2002 年 2 月 3 日
2002 年 9 月 5 日
2002 年 9 月 5 日
第 13 号警报,Oracle 重定向拒绝服务漏洞 153289.1 2001 年 11 月 21 日
Oracle 电子商务套件 11i 版本应用程序桌面集成器中的漏洞 无 MetaLink 说明 2001 年 5 月 21 日
从 Oracle 电子商务套件中不安全地启动 Forms 无 MetaLink 说明 2001 年 4 月 30 日
Oracle JVM 文件权限漏洞 无 MetaLink 说明 2001 年 2 月 13 日
JSP 的安全性缺陷和 Oracle 8.1.7 目录遍历漏洞 135885.1 2004 年 11 月 3 日
意外执行 Oracle JSP 无 MetaLink 说明 2001 年 2 月 13 日
Oracle XSQL Servlet 漏洞 无 MetaLink 说明 2001 年 1 月 23 日
Oracle Connection Manager 控制 SUID 无 MetaLink 说明 2001 年 1 月 31 日
Oracle Internet Directory 缓冲区溢出 无 MetaLink 说明 2001 年 1 月 31 日
mod_plsql 排除列表通告 无 MetaLink 说明 2001 年 1 月 10 日
Oracle 互联网应用服务器 无 MetaLink 说明 2000 年 12 月 28 日
Oracle 企业管理器备份与恢复 130119.1 2002 年 4 月 12 日
Oracle 监听器中的漏洞 124742.1 2004 年 7 月 22 日
Oracle 应用服务器:远程命令执行 108139.1 2002 年 2 月 4 日
未保护的 Oracle 安装程序文件 无 MetaLink 说明 2000 年 4 月 14 日

MetaLink 安全说明

在 2002 年 10 月到 2003 年 3 月之间,Oracle 以 MetaLink 安全说明的形式发布了一些安全建议信息。下表列出了这些说明。

安全说明描述 MetaLink 说明 ID 最新版本/日期
电子商务套件 11 i 版本中的安全漏洞 229257.1 2003 年 3 月 3 日
业务智能报表中的安全缺陷 222438.1 2002 年 12 月 4 日
Oracle9iAS Portlet 信息库中的漏洞 216501.1 2002 年 10 月 29 日
Oracle9iAS Portal 和一次性登录服务器中的漏洞 216493.1 2002 年 10 月 29 日
统一消息处理/OID 默认访问控制策略中的漏洞 212934.1 2002 年 10 月 2 日
Oracle9iR2 ALTER SESSION 权限漏洞 210317.1 2002 年 10 月 9 日

已修复的公共安全漏洞

将公共安全漏洞映射为警告/警报表明每个重要补丁更新和安全警报中修复的公共安全漏洞。


关于在“重要补丁更新和安全警报”中所提供信息的政策声明

Oracle 对通过重要补丁更新 (CPU) 或安全警报提出的各个安全漏洞进行了分析。安全性分析的结果反映在 CPU 或安全警报的严重性以及相关的文档中,这些文档介绍了漏洞类型、利用漏洞所需的条件以及成功利用漏洞的结果等。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析其自己的风险。

出于策略方面的原因,Oracle 不提供除 CPU 或安全警报通告、安装前说明、自述文件和常见问题解答中所提供信息外的其他具体信息。Oracle 为所有客户提供相同的信息,以平等地保护所有的客户。Oracle 不会向个别客户提供关于 CPU 或安全警报的预先通知或“内幕消息”。最后,Oracle 不会针对我们产品中的漏洞开发或发布可利用的入侵代码(或“验证性代码”)。

Oracle 安全漏洞修复策略和过程介绍了安全漏洞修复的生命周期,其中包括重要补丁更新、补丁集与新发布版本之间的关联性。

MetaLink 说明 360870.1 解释了 Java 安全漏洞对 Oracle 产品的影响。


报告安全漏洞

如果您是 Oracle 客户或 Oracle 合作伙伴,请使用 MetaLink 就 Oracle 产品的任何潜在安全漏洞提交服务请求。或者,请将您发现的问题通过电子邮件发送到 secalert_us@oracle.com。我们鼓励希望与 Oracle Security 部门联系的人使用我们的加密密钥加密电子邮件。

E-mail this page
Printer View Printer View