Oracle 重要补丁更新 — 2006 年 10 月
说明
重要补丁更新是针对多个安全漏洞的补丁集合。它还包含这些安全补丁因依赖关系而需要的非安全修补程序。该重要补丁更新包含涉及所有产品的 101 个新安全修复程序。
支持的产品和受影响的组件
该重要补丁更新所解决的安全漏洞影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在产品版本后面的 [方括号] 中。请单击 [方括号] 中或可用补丁表中的链接,查看这些补丁的文档。
类别 I
Oracle 生命周期支持策略下首选支持或扩展支持涵盖的产品版本;或者以前的支持策略下错误更正支持 (ECS) 或扩展维护支持 (EMS) 涵盖的产品版本:
| • Oracle 数据库 10g 第 2 版,版本 10.2.0.1、10.2.0.2 |
[ 数据库 ] |
| • Oracle 数据库 10g 第 1 版,版本 10.1.0.4、10.1.0.5 |
[ 数据库 ] |
| • Oracle9i 数据库第 2 版,版本 9.2.0.6、9.2.0.7 |
[ 数据库 ] |
| • Oracle8i 数据库第 3 版,版本 8.1.7.4 |
[ 数据库 ] |
| • Oracle Application Express(之前称为 HTML DB),版本 1.5 - 2.0 |
[ Application Express 下载页面 (OTN) ] |
| • Oracle 应用服务器 10g 第 3 版,版本 10.1.3.0.0 |
[ 应用服务器 ] |
| • Oracle 应用服务器 10g 第 2 版,版本 10.1.2.0.0 - 10.1.2.0.2、10.1.2.1.0 |
[ 应用服务器 ] |
| • Oracle 应用服务器 10g 第 1 版 (9.0.4),版本 9.0.4.2、9.0.4.3 |
[ 应用服务器 ] |
| • Oracle 协作套件 10g 第 1 版,版本 10.1.2.0 |
[ 协作套件 ] |
| • Oracle9i 协作套件第 2 版,版本 9.0.4.2 |
[ 协作套件 ] |
| • Oracle 电子商务套件 11i 版,版本 11.5.7 - 11.5.10 CU2 |
[ 电子商务套件 ]
|
| • Oracle 电子商务套件 11.0 版 |
[ 电子商务套件 ]
|
| • Oracle Pharmaceutical Applications 版本 4.5.0 - 4.50.1 |
[ Pharmaceutical Applications ]
|
| • Oracle PeopleSoft Enterprise PeopleTools 版本 8.22、8.46、8.47、8.48 |
[ PeopleSoft/JDE ]
|
| • Oracle PeopleSoft 企业门户解决方案、企业门户,版本 8.8、8.9 |
[ PeopleSoft/JDE ]
|
| • JD Edwards EnterpriseOne Tools 版本 8.95、8.96 |
[ PeopleSoft/JDE ]
|
| • JD Edwards OneWorld Tools SP23 |
[ PeopleSoft/JDE ]
|
类别 II
与类别 I 中所列产品捆绑在一起的产品和组件:
| • Oracle 开发套件,版本 6i、9.0.4.1、9.0.4.2、9.0.4.3、10.1.2.0.2、10.1.2.2 |
[ 电子商务套件 ] 和 [ 开发套件 ]
|
类别 III
单独安装不受支持但与类别 I 中所列产品一同安装可获支持的产品:
| • Oracle9i 数据库第 1 版,版本 9.0.1.4 |
[ 协作套件 ]
|
| • Oracle9i 数据库第 1 版,版本 9.0.1.5、9.0.1.5 FIPS |
[ 应用服务器 ] |
| • Oracle9i 应用服务器第 2 版,版本 9.0.2.3、9.0.3.1 |
[ 协作套件 ]
|
| • Oracle9i 应用服务器第 1 版,版本 1.0.2.2 |
[ 电子商务套件 ]
|
类别 III 中的产品只有在作为类别 I 中产品的一部分进行安装、并完全通过了受支持的配置和环境测试后,相应的补丁才可用。请参阅每种产品的文档,以了解有关补丁的支持与可用性的具体细节。
类别 IV
只在指定平台上支持的产品。请查阅其他文档以获得详细信息。
| • Oracle 数据库 10g 第 1 版,版本 10.1.0.3 |
[ 数据库 ] |
| • Oracle9i 数据库第 2 版,版本 9.2.0.5 |
[ 数据库 ] |
| • Oracle 应用服务器 10g 第 1 版 (9.0.4),版本 9.0.4.1 |
[ 应用服务器 ] |
2006 年 10 月重要补丁更新的新增内容
顾问程序中进行了以下改进:
- 风险表现在使用常见漏洞评估系统 (CVSS) 来汇总漏洞。Oracle 继续为以前的重要补丁更新提供与风险表中信息一致的其他信息。有关新风险表列和 Oracle 实施 CVSS 标准的更多信息位于参考一节中。
- 每个产品套件都包含一个有关该重要补丁更新中新修复漏洞的编号和类型的简单执行概要。
- 客户端适用性信息(列出需要应用于计算机而不是服务器的补丁)现在按产品套件列出。
可用补丁表与风险表
更新中的 Oracle 数据库、Oracle 应用服务器、Oracle 企业管理器网格控制、Oracle 协作套件、JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft Enterprise Portal Applications 以及 PeopleSoft Enterprise PeopleTools 补丁均是累积式的;每一期重要补丁更新都包含之前重要补丁更新的修复程序。
Oracle 电子商务套件和应用程序补丁不是累积式的,因此电子商务套件和应用程序客户应到先前的重要补丁更新中寻找其想应用的修复程序。
对于所管理的每个 Oracle 产品,请查阅下表,以了解可用补丁信息和安装说明。有关该重要补丁更新的 Oracle 产品文档概述,请参阅 2006 年 10 月 Oracle 重要补丁更新文档概述,MetaLink 说明 391560.1。
风险表内容
风险表只列出与该顾问程序有关的补丁新修复的安全漏洞。之前的修复程序的风险表包含在之前的重要补丁更新报告中。
该重要补丁更新修复的几个漏洞影响着多个产品。同一个漏洞在所有风险表中显示时使用相同的漏洞号。斜体 表明其他产品领域中包含的代码中的漏洞。
Oracle 对通过重要补丁更新 (CPU) 或安全警报提出的各个安全漏洞进行了分析。安全性分析的结果反映在相关文档中,例如,漏洞类型、利用该漏洞所需的条件以及成功利用该漏洞的后果。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析其自己的风险。出于策略方面的原因,Oracle 不会透露有关可能会导致漏洞被成功利用的利用条件或结果的详细信息。Oracle 不提供除 CPU 或安全警报通告、可用补丁表、自述文件和常见问题解答所提供信息以外的其他具体漏洞信息。Oracle 不向个别客户提供有关 CPU 或安全警报的预先通知。最后,Oracle 不会针对我们产品中的漏洞发布可利用的入侵代码或“验证性”代码。
变通方法
考虑到成功攻击会带来的威胁,Oracle 强烈建议尽快应用修复程序。根据您的环境,可以通过限制攻击所需的网络协议来降低成功攻击的风险。对于需要特定权限或者需要访问特定的程序包的攻击,删除不受信任用户的权限或者访问这些程序包的能力可能有助于降低成功攻击的风险。这两种方法都有可能损害应用程序功能,因此 Oracle 强烈建议在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。
不受支持的产品和不受支持的版本
不受支持的产品、版本没有测试过是否存在可由该重要补丁更新修补的安全漏洞。但是,早期的受影响版本的补丁集可能也会受这些安全漏洞的影响。
受支持的产品按照 CPU 常见问题解答文档(参考一节中提供有链接)中概述的重要补丁更新策略进行修补。
重要补丁更新适用于在生命周期支持策略实施之前购买了扩展维护支持 (EMS) 的客户。不受支持的通知中说明了 EMS 是否适用于特定版本和平台以及 EMS 适用期间的特定时期。
在生命周期策略实施之前,具有在扩展支持 (ES) 中有效的产品版本许可的客户有资格下载现有修复程序,但是,ES 不涵盖补丁应用过程中可能出现的新问题。因此,ES 客户应制定一个能够删除任何已应用补丁的详尽计划。
将不为扩展维护支持计划或生命周期支持策略中不再涵盖的产品版本提供重要补丁更新补丁。我们建议客户升级至最新的受支持 Oracle 产品版本,以获取补丁。
请参阅技术支持策略中的“扩展支持”部分,进一步了解有关 ES 和 EMS 的原则。
致谢
该重要补丁更新修复的安全漏洞由以下人员发现并向 Oracle 报告:Johannes Fahrenkrug;S.P.I. Dynamics, Inc. 的 Sacha Faust;Application Security, Inc. 的 Esteban Martinez Fayo;Red Database Security GmbH 的 Alexander Kornbrust;Next Generation Security Software Ltd. 的 David Litchfield;以及 COMEC-92 的 Andrew Maksimenko。
重要补丁更新日程表
重要补丁更新在距 1 月、4 月、7 月和 10 月的第 15 日最近的星期二
发布。接下来的四个日期为:
- 2007 年 1 月 16 日
- 2007 年 4 月 17 日
- 2007 年 7 月 17 日
- 2007 年 10 月 16 日
参考
修改历史
附录 A — Oracle 数据库
Oracle 数据库执行概要
该重要补丁更新总共包含 63 个适用于 Oracle 数据库产品的新安全修复程序,分类如下:
- 22 个适用于 Oracle 数据库的新安全修复程序,它们都需要有效的数据库用户名和口令。
- 6 个适用于 Oracle HTTP Server 的新安全修复程序,其中 5 个无需身份验证即可远程使用,即,可以通过网络利用这些修复程序而无需用户名和口令。Oracle HTTP Server 是一个可选产品,不是 Oracle 数据库的默认安装项。如果没有安装此项,该软件不会出现,并且不需要 Oracle HTTP Server 补丁。Oracle 数据库版本直至并包括 Oracle 数据库 9i 第 2 版都允许将 Oracle HTTP Server 作为数据库的可选组件进行安装。Oracle 数据库版本 10g 第 1 版以及更高版本将 Oracle HTTP Server 包含在附带的 CD 中。
- 35 个适用于 Oracle Application Express 的新安全修复程序,其中 25 个无需身份验证即可远程使用。Oracle Application Express 是一个可选产品,不随 Oracle 数据库一同安装。如果尚未安装该软件(一些 Oracle 数据库版本的 Oracle 数据库 CD 集中的附带 CD 上提供了该软件),则该软件不会出现且不需要这些补丁。
没有适用于仅具有 Oracle 数据库客户端的安装(即,没有安装 Oracle 数据库的安装)的新修复程序。
Oracle 数据库风险表
| 漏洞号 |
组件 |
协议 |
所需的程序包和/或权限 |
无需身份验证即可远程利用? |
CVSS 风险(参阅 394486.1) |
最早受影响的支持版本 |
最后受影响的补丁集(每个受支持版本) |
| 基本评分 |
访问向量 |
访问复杂性 |
认证 |
机密性 |
完整性 |
可用性 |
| DB01 |
XMLDB |
Oracle Net |
xdb.dbms_xdbz 上的执行权限 |
否 |
4.2 |
远程 |
低 |
必需 |
部分+ |
部分+ |
部分 |
9iR2 |
9.2.0.6, 10.1.0.4 |
| DB02 |
Oracle Spatial |
Oracle Net |
创建会话,创建过程 |
否 |
3.4 |
远程 |
高 |
必需 |
部分 |
部分+ |
部分+ |
10gR2 |
10.2.0.2 |
| DB03 |
Oracle Spatial |
Oracle Net |
mdsys.md2 上的执行权限 |
否 |
3.4 |
远程 |
高 |
必需 |
部分+ |
部分+ |
部分+ |
9i |
9.0.1.5, 9.2.0.7, 10.1.0.5 |
| DB04 |
更改数据捕获 (CDC) |
Oracle Net |
sys.dbms_cdc_impdp 上的执行权限 |
否 |
2.8 |
远程 |
低 |
必需 |
部分+ |
部分+ |
无 |
10g |
10.1.0.5, 10.2.0.2 |
| DB05 |
更改数据捕获 (CDC) |
Oracle Net |
sys.dbms_cdc_ipublish 上的执行权限 |
否 |
2.8 |
远程 |
低 |
必需 |
部分 |
部分 |
无 |
9iR2 |
9.2.0.7, 10.1.0.5, 10.2.0.2 |
| DB06 |
更改数据捕获 (CDC) |
Oracle Net |
sys.dbms_cdc_isubscribe 上的执行权限 |
否 |
2.8 |
远程 |
低 |
必需 |
部分+ |
部分+ |
无 |
9iR2 |
9.2.0.7, 10.1.0.5, 10.2.0.2 |
| DB07 |
更改数据捕获 (CDC) |
Oracle Net |
sys.dbms_cdc_isubscribe 上的执行权限 |
否 |
2.8 |
远程 |
低 |
必需 |
部分+ |
部分+ |
无 |
10g |
10.1.0.5, 10.2.0.2 |
| DB08 |
更改数据捕获 (CDC) |
Oracle Net |
sys.dbms_cdc_isubscribe 上的执行权限 |
否 |
2.8 |
远程 |
低 |
必需 |
部分+ |
部分+ |
无 |
10g |
10.1.0.5, 10.2.0.2 |
| DB09 |
核心 RDBMS |
Oracle Net |
创建会话 |
否 |
2.8 |
远程 |
低 |
必需 |
无 |
部分+ |
部分+ |
9i |
9.0.1.5, 9.2.0.7, 10.1.0.5, 10.2.0.2 |
| DB10 |
核心 RDBMS |
Oracle Net |
sys.dbms_sqltune 上的执行权限 |
否 |
2.8 |
远程 |
低 |
必需 |
部分 |
部分 |
无 |
10g |
10.1.0.5, 10.2.0.0 |
| DB11 |
Oracle Spatial |
Oracle Net |
mdsys.sdo_geom 上的执行权限 |
否 |
2.8 |
远程 |
低 |
必需 |
无 |
部分 |
部分+ |
8i |
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.4 |
| DB12 |
Oracle Spatial |
Oracle Net |
mdsys.sdo_geom 上的执行权限 |
否 |
2.8 |
远程 |
低 |
必需 |
部分+ |
部分+ |
无 |
10g |
10.1.0.5, 10.2.0.2 |
| DB13 |
Oracle Spatial |
Oracle Net |
mdsys.sdo_geom 上的执行权限 |
否 |
2.8 |
远程 |
低 |
必需 |
部分 |
部分 |
无 |
8i |
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.5, 10.2.0.2 |
| DB14 |
XMLDB |
Oracle Net |
创建会话 |
否 |
2.8 |
远程 |
低 |
必需 |
部分+ |
部分+ |
无 |
9iR2 |
9.2.0.7, 10.1.0.5, 10.2.0.2 |
| DB15 |
XMLDB |
Oracle Net |
xdb.dbms_xdbz 上的执行权限 |
否 |
2.8 |
远程 |
低 |
必需 |
部分 |
部分 |
无 |
9iR2 |
9.2.0.7, 10.1.0.5, 10.2.0.2 |
| DB16 |
更改数据捕获 (CDC) |
Oracle Net |
sys.dbms_cdc_isubscribe 上的执行权限 |
否 |
2.2 |
远程 |
高 |
必需 |
部分+ |
部分+ |
无 |
10g |
10.1.0.5, 10.2.0.2 |
| DB17 |
Oracle Spatial |
Oracle Net |
创建会话 |
否 |
2.2 |
远程 |
高 |
必需 |
部分+ |
部分+ |
无 |
8i |
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.5, 10.2.0.2 |
| DB18 |
Oracle Spatial |
Oracle Net |
mdsys.sdo_tune 上的执行权限 |
否 |
2.2 |
远程 |
高 |
必需 |
无 |
部分 |
部分+ |
9i |
9.0.1.5, 9.2.0.6, 10.1.0.3 |
| DB19 |
Database Scheduler |
Oracle Net |
sys.dbms_scheduler 上的执行权限 |
否 |
1.4 |
远程 |
低 |
必需 |
部分 |
无 |
无 |
10g |
10.1.0.3 |
| DB20 |
Oracle Spatial |
Oracle Net |
mdsys.sdo_3gl 上的执行权限 |
否 |
1.4 |
远程 |
低 |
必需 |
无 |
无 |
部分 |
8i |
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.4 |
| DB21 |
Oracle Spatial |
Oracle Net |
mdsys.sdo_cs 上的执行权限 |
否 |
1.4 |
远程 |
低 |
必需 |
无 |
无 |
部分 |
8i |
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.4 |
| DB22 |
Oracle Spatial |
Oracle Net |
mdsys.sdo_geom 上的执行权限 |
否 |
1.4 |
远程 |
低 |
必需 |
无 |
无 |
部分 |
9i |
9.0.1.5, 9.2.0.7, 10.1.0.4 |
仅具有 Oracle 数据库客户端的安装
本重要补丁更新可修复的新漏洞并不会影响仅具有 Oracle 数据库客户端的安装(没有安装 Oracle 数据库的安装)。因此,如果之前已向仅具有客户端的安装应用了重要补丁更新或第 68 号警报,则没有必要再向其应用本重要补丁更新。
中间层中的客户端软件已作为一般中间层补丁的一部分进行了修补,故客户无需再使用其他补丁。例外将记录在可用补丁文档或预安装说明中,具体取决于产品。
Oracle HTTP Server 风险表
| 漏洞编号 |
组件 |
协议 |
所需的程序包和/或权限 |
无需身份验证即可远程利用? |
CVSS 风险(参阅 394486.1) |
最早受影响的支持版本 |
最后受影响的补丁集(每个受支持版本) |
| 基本评分 |
访问向量 |
访问复杂性 |
认证 |
机密性 |
完整性 |
可用性 |
| OHS02 |
Oracle HTTP Server |
本地或 HTTP |
能够运行 htdigest 程序 |
是 |
3.7 |
远程 |
高 |
不需要 |
无 |
部分 |
部分 |
9i |
9.2.0.7 |
| OHS04 |
Oracle HTTP Server |
HTTPS |
安全套接字层 |
是 |
2.3 |
远程 |
低 |
不需要 |
无 |
部分 |
无 |
9i |
9.2.0.7 |
| OHS05 |
Oracle HTTP Server |
HTTPS |
安全套接字层 |
是 |
2.3 |
远程 |
低 |
不需要 |
部分 |
无 |
无 |
9i |
9.2.0.7 |
| OHS06 |
Oracle HTTP Server |
HTTP |
无 |
是 |
2.3 |
远程 |
低 |
不需要 |
无 |
部分 |
无 |
9i |
9.2.0.7, 10.1.0.5 |
| OHS07* |
Oracle HTTP Server |
HTTPS |
安全套接字层 |
是 |
1.9 |
远程 |
高 |
不需要 |
无 |
无 |
部分 |
9i |
9.2.0.7 |
| OHS08 |
Oracle HTTP Server |
本地 |
安全套接字层 |
否 |
0.8 |
本地 |
高 |
必需 |
部分+ |
无 |
无 |
9i |
9.2.0.7 |
注意:
- OHS07 仅适用于 HP Tru64 UNIX 平台。其他受支持的平台不易受到攻击。受支持的 Oracle 应用服务器版本不易受到攻击。
Oracle Application Express(之前称为 Oracle HTML DB)风险表
| 漏洞号 |
组件 |
协议 |
所需的程序包和/或权限 |
无需身份验证即可远程利用? |
CVSS 风险(参阅 394486.1) |
最早受影响的支持版本 |
最后受影响的补丁集(每个受支持版本) |
| 基本评分 |
访问向量 |
访问复杂性 |
认证 |
机密性 |
完整性 |
可用性 |
| APEX01 |
Application Express |
HTTP |
无 |
是 |
7.0 |
远程 |
低 |
不需要 |
部分 |
部分 |
部分 |
1.5 |
2.0 |
| APEX02 |
Application Express |
HTTP |
无 |
是 |
5.6 |
远程 |
高 |
不需要 |
部分+ |
部分+ |
部分+ |
1.5 |
2.0 |
| APEX03 |
Application Express |
HTTP |
无 |
是 |
5.6 |
远程 |
高 |
不需要 |
部分 |
部分 |
部分 |
1.5 |
2.0 |
| APEX04 |
Application Express |
HTTP |
无 |
是 |
5.6 |
远程 |
高 |
不需要 |
部分 |
部分 |
部分 |
1.5 |
1.6.1 |
| APEX05 |
Application Express |
HTTP |
无 |
是 |
4.7 |
远程 |
低 |
不需要 |
部分 |
部分 |
无 |
1.5 |
2.0 |
| APEX06 |
Application Express |
HTTP |
无 |
是 |
4.7 |
远程 |
低 |
不需要 |
无 |
部分 |
部分 |
1.5 |
2.0 |
| APEX07 |
Application Express |
HTTP |
无 |
是 |
4.7 |
远程 |
低 |
不需要 |
无 |
部分+ |
部分+ |
1.5 |
2.0 |
| APEX08 |
Application Express |
HTTP |
无 |
是 |
4.7 |
远程 |
低 |
不需要 |
部分+ |
部分+ |
无 |
1.5 |
2.0 |
| APEX09 |
Application Express |
HTTP |
无 |
是 |
4.7 |
远程 |
低 |
不需要 |
无 |
部分 |
部分 |
1.5 |
2.0 |
| APEX10 |
Application Express |
HTTP |
具有 htmldb_plsql_job 上执行权限的数据库用户 |
否 |
4.2 |
远程 |
低 |
必需 |
部分+ |
部分+ |
部分+ |
1.5 |
2.0 |
| APEX11 |
Application Express |
HTTP |
可以创建任何同义词的数据库用户 |
否 |
4.2 |
远程 |
低 |
必需 |
部分+ |
部分+ |
部分+ |
1.5 |
2.0 |
| APEX12 |
Application Express |
HTTP |
无 |
是 |
3.7 |
远程 |
高 |
不需要 |
部分 |
部分 |
无 |
1.5 |
2.0 |
| APEX13 |
Application Express |
HTTP |
无 |
是 |
3.7 |
远程 |
高 |
不需要 |
无 |
部分 |
部分 |
1.5 |
2.0 |
| APEX14 |
Application Express |
HTTP |
无 |
是 |
3.7 |
远程 |
高 |
不需要 |
部分 |
部分 |
无 |
1.5 |
2.0 |
| APEX15 |
Application Express |
HTTP |
具有 SQL Workshop 上执行权限的 APEX 开发人员用户 |
否 |
3.4 |
远程 |
高 |
必需 |
部分+ |
部分+ |
部分+ |
1.5 |
2.0 |
| APEX16 |
Application Express |
HTTP |
具有 SQL Workshop 上执行权限的 APEX 开发人员用户 |
否 |
3.4 |
远程 |
高 |
必需 |
部分+ |
部分+ |
部分+ |
1.5 |
2.0 |
| APEX17 |
Application Express |
HTTP |
无 |
是 |
3.3 |
远程 |
低 |
不需要 |
无 |
无 |
完全 |
1.5 |
2.0 |
| APEX18 |
Application Express |
HTTP |
无 |
否 |
2.8 |
远程 |
低 |
必需 |
部分+ |
部分+ |
无 |
1.5 |
2.0 |
| APEX19 |
Application Express |
HTTP |
无 |
否 |
2.8 |
远程 |
低 |
必需 |
部分+ |
部分+ |
无 |
1.5 |
2.0 |
| APEX20 |
Application Express |
HTTP |
无 |
是 |
2.3 |
远程 |
低 |
不需要 |
无 |
部分 |
无 |
1.5 |
1.6.1 |
| APEX21 |
Application Express |
HTTP |
无 |
是 |
2.3 |
远程 |
低 |
不需要 |
无 |
部分 |
无 |
1.5 |
1.6.1 |
| APEX22 |
Application Express |
HTTP |
无 |
是 |
2.3 |
远程 |
低 |
不需要 |
无 |
部分 |
无 |
1.5 |
2.0 |
| APEX23 |
Application Express |
HTTP |
无 |
是 |
2.3 |
远程 |
低 |
不需要 |
无 |
无 |
部分+ |
1.5 |
2.0 |
| APEX24 |
Application Express |
HTTP |
无 |
是 |
2.3 |
远程 |
低 |
不需要 |
无 |
部分 |
无 |
1.5 |
2.0 |
| APEX25 |
Application Express |
HTTP |
无 |
是 |
2.3 |
远程 |
低 |
不需要 |
无 |
无 |
部分 |
1.5 |
2.0 |
| APEX26 |
Application Express |
HTTP |
无 |
是 |
2.3 |
远程 |
低 |
不需要 |
无 |
部分 |
无 |
1.5 |
2.0 |
| APEX27 |
Application Express |
HTTP |
无 |
是 |
2.3 |
远程 |
低 |
不需要 |
无 |
部分 |
无 |
1.5 |
2.0 |
| APEX28 |
Application Express |
HTTP |
无 |
是 |
2.3 |
远程 |
低 |
不需要 |
无 |
部分 |
无 |
1.5 |
2.0 |
| APEX29 |
Application Express |
HTTP |
无 |
否 |
2.2 |
远程 |
高 |
必需 |
部分 |
部分 |
无 |
1.5 |
2.0 |
| APEX30 |
Application Express |
HTTP |
无 |
否 |
2.2 |
远程 |
高 |
必需 |
部分 |
部分 |
无 |
1.5 |
2.0 |
| APEX31 |
Application Express |
HTTP |
无 |
是 |
1.9 |
远程 |
高 |
不需要 |
无 |
部分 |
无 |
1.5 |
2.0 |
| APEX32 |
Application Express |
HTTP |
无 |
是 |
1.9 |
远程 |
高 |
不需要 |
部分 |
无 |
无 |
1.5 |
2.0 |
| APEX33 |
Application Express |
HTTP |
无 |
是 |
1.9 |
远程 |
高 |
不需要 |
无 |
无 |
部分 |
1.5 |
2.0 |
| APEX34 |
Application Express |
HTTP |
无 |
否 |
1.4 |
远程 |
低 |
必需 |
无 |
部分 |
无 |
1.5 |
2.0 |
| APEX35 |
Application Express |
HTTP |
无 |
否 |
1.1 |
远程 |
高 |
必需 |
部分 |
无 |
无 |
1.5 |
2.0 |
Oracle Application Express(之前称为 Oracle HTML DB)概述
Oracle Application Express(之前称为 Oracle HTML DB)是一个适用于 Oracle 数据库的快速 Web 应用程序开发工具。如果没有从 Oracle 数据库 CD 集提供的附带 CD 或从 Oracle 网站下载的程序包单独安装 Oracle Application Express,则该软件不会出现在系统上且无需进一步操作。
数据库 10g 第 1 版的附带 CD 与 HTML DB(目前称为 Application Express)版本 1.5 一起提供。
数据库 10g 第 2 版的附带 CD 与 HTML DB(目前称为 Application Express)版本 1.6.1 一起提供。
要检查系统中是否存在 Application Express,以 SYS 身份从 SQL 提示符运行以下命令:
select username from dba_users where username in ('FLOWS_010500','FLOWS_010600','FLOWS_020000','FLOWS_020200');
如果结果是“no rows selected”,则没有安装该产品版本,无需进一步操作。其他输出表明安装了 Oracle Application Express,需要进行升级,即使目前没有使用该软件。
升级 Oracle Application Express
以上风险表中所列的 Oracle Application Express 安全漏洞在版本 2.2.1 都进行了修复。所有之前的版本都应直接升级至 2.2.1。有关升级以及安装 Oracle Application Express 2.2.1 版的说明,位于以下位置:
http://www.oracle.com/technology/global/cn/products/database/application_express/download.html
附录 B — Oracle 应用服务器
Oracle 应用服务器执行概要
该重要补丁更新包含 14 个适用于 Oracle 应用服务器的新安全修复程序,其中 13 个无需身份验证即可远程使用,即可以通过网络使用这些程序而无需用户名和口令。3 个新修复程序适用于 Oracle Reports Developer 和 Oracle Containers for J2EE 的仅客户端安装。所有安装了这些产品的计算机应均已应用了该重要补丁更新。
该重要补丁更新还包含 6 个新安全修复程序,它们适用于不支持独立使用、但支持作为受支持产品的一部分使用的 Oracle 应用服务器产品,即类别 I部分中所列的产品。所有这 6 个修复程序均无需身份验证即可远程使用。有关这些修复程序的更多详细信息,可在本文档的以下部分中找到:Oracle 数据库、Oracle 协作套件以及 Oracle 电子商务套件。本部分并未对其作进一步讨论,因为它们不适用于 Oracle 应用服务器独立实例。
与 Oracle 数据库捆绑在一起的 Oracle 应用服务器产品受 Oracle 数据库部分中所列的漏洞影响。本部分并未对其作进一步讨论,也没有将它们列在 Oracle 应用服务器风险表中。
Oracle 应用服务器风险表
| 漏洞编号 |
组件 |
协议 |
所需的程序包和/或权限 |
无需身份验证即可远程利用? |
CVSS 风险(参阅 394486.1) |
最早受影响的支持版本 |
最后受影响的补丁集(每个受支持版本) |
| 基本评分 |
访问向量 |
访问复杂性 |
认证 |
机密性 |
完整性 |
可用性 |
| OHS01 |
Oracle HTTP Server |
HTTP |
Mod_rewrite 模块 |
是 |
4.7 |
远程 |
低 |
不需要 |
无 |
部分 |
部分 |
9.0.4.1 |
9.0.4.3, 10.1.2.0.2, 10.1.2.1.0, 10.1.3.0.0 |
| SSO01 |
Oracle 一次性登录 |
HTTP |
有效会话 |
是 |
3.7 |
远程 |
高 |
不需要 |
部分 |
部分 |
无 |
9.0.4.1 |
9.0.4.3, 10.1.2.0.2, 10.1.2.1.0 |
| OHS03 |
Oracle HTTP Server |
HTTP |
PHP 模块 |
是 |
3.3 |
远程 |
低 |
不需要 |
无 |
无 |
完全 |
10.1.2.0 |
10.1.2.0.1, 10.1.2.0.2, 10.1.2.1.0 |
| FORM01 |
Oracle Forms |
HTTP |
无 |
是 |
2.3 |
远程 |
低 |
不需要 |
部分 |
无 |
无 |
9.0.4.1 |
9.0.4.3、10.1.2.0.2(10.1.2.0.0 不受影响) |
| FORM02 |
Oracle Forms |
HTTP |
无 |
是 |
2.3 |
远程 |
低 |
不需要 |
无 |
无 |
部分 |
9.0.4.1 |
9.0.4.3、10.1.2.0.2(10.1.2.0.0 不受影响) |
| OC4J02 |
Oracle Containers for J2EE |
HTTP |
无 |
是 |
2.3 |
远程 |
低 |
不需要 |
无 |
无 |
部分+ |
9.0.4.1 |
9.0.4.3, 10.1.2.0.2, 10.1.2.1.0 |
| OHS06 |
Oracle HTTP Server |
HTTP |
无 |
是 |
2.3 |
远程 |
低 |
不需要 |
无 |
部分 |
无 |
9.0.4.1 |
9.0.4.3, 10.1.2.0.2, 10.1.2.1.0, 10.1.3.0 |
| REP01 |
Oracle Reports Developer |
HTTP |
无 |
是 |
2.3 |
远程 |
低 |
不需要 |
无 |
部分 |
无 |
9.0.4.1 |
9.0.4.3, 10.1.2.0.2 |
| REP02 |
Oracle Reports Developer |
HTTP |
无 |
是 |
2.3 |
远程 |
低 |
不需要 |
无 |
部分 |
无 |
9.0.4.1 |
9.0.4.3, 10.1.2.0.2 |
| FORM03 |
Oracle Forms |
HTTP |
无 |
是 |
1.9 |
远程 |
高 |
不需要 |
部分 |
无 |
无 |
9.0.4.1 |
9.0.4.2 |
| OC4J03 |
Oracle Containers for J2EE |
Oracle 远程方法调用 |
无 |
是 |
1.9 |
远程 |
高 |
不需要 |
无 |
无 |
部分 |
9.0.4.1 |
9.0.4.3, 10.1.2.0.0, 10.1.2.0.1 |
| OC4J04 |
Oracle Containers for J2EE |
HTTP |
Web 服务安全性 |
是 |
1.9 |
远程 |
高 |
不需要 |
部分 |
无 |
无 |
10.1.3 |
10.1.3.0.0 |
| SSO02 |
Oracle 一次性登录 |
HTTP |
无 |
是 |
1.9 |
远程 |
高 |
不需要 |
部分 |
无 |
无 |
10.1.2.0 |
10.1.2.0.1 |
| OC4J05 |
Oracle Containers for J2EE |
HTTP |
自定义登录模块 |
否 |
1.1 |
远程 |
高 |
必需 |
部分 |
无 |
无 |
9.0.4.1 |
9.0.4.1, 10.1.2.0.2 |
注意:
- OC4J01、OHS02、OHS04、OHS05、OHS08 以及 OPMN01 仅适用于 Oracle 协作套件和/或 Oracle 电子商务套件产品。受支持的 Oracle 应用服务器版本不受这些漏洞的影响,因此它们没有列在这个风险表中。
- OHS07 仅在与 Oracle 数据库一起提供时适用于 Oracle HTTP Server。受支持的 Oracle 应用服务器版本不易受该问题影响。该漏洞仅列在 Oracle 数据库部分中。
仅具有 Oracle 应用服务器客户端的安装
该重要补丁更新修复的两个新漏洞影响仅具有 Oracle Containers for J2EE 客户端的安装。它们是上述风险表中的 OC4J02 和 OC4J04。所有安装了 Oracle Containers for J2EE 组件的计算机应该均已应用了该重要补丁更新。
该重要补丁更新修复的一个新漏洞影响仅具有 Oracle Reports Developer 客户端的安装。它是上述风险表中的 REP01。所有安装了 Oracle Reports 组件的计算机应该均已应用了该重要补丁更新。
附录 C — Oracle 协作套件
Oracle 协作套件执行概要
该重要补丁更新中没有 Oracle 协作套件特定的新修复程序。请参考 2006 年 7 月重要补丁更新以获取最新的 Oracle 协作套件特定的修复程序。
该重要补丁更新包含 12 个 Oracle 协作套件中的代码中出现的 Oracle 应用服务器漏洞。其中 11 个漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。作为该重要补丁更新的一部分提供的应用程序层堆栈补丁包含这些修复程序,应安装在 Oracle 协作套件实例上。
Oracle 协作套件绑定了 Oracle 数据库。Oracle 数据库部分中的 Oracle 数据库部分中列出的所有修复程序都适用。该顾问程序中引用的 Oracle 协作套件文档列出了 Oracle 协作套件实例上应该安装用来修复这些 Oracle 数据库问题的补丁。
Oracle 协作套件风险表
| 漏洞号 |
组件 |
协议 |
所需的程序包和/或权限 |
无需身份验证即可远程利用? |
CVSS 风险(参阅 394486.1) |
最早受影响的支持版本 |
最后受影响的补丁集(每个受支持版本) |
| 基本评分 |
访问向量 |
访问复杂性 |
认证 |
机密性 |
完整性 |
可用性 |
| OHS01 |
Oracle HTTP Server |
HTTP |
Mod_rewrite 模块 |
是 |
4.7 |
远程 |
低 |
不需要 |
无 |
部分 |
部分 |
9.0.4 |
9.0.4.2, 10.1.2 |
| OHS02 |
Oracle HTTP Server |
本地或 HTTP |
能够运行 htdigest 程序 |
|
