Oracle 重要补丁更新 — 2007 年 10 月
说明
重要补丁更新是针对多个安全漏洞的补丁集合。它还包含这些安全补丁因依赖关系而需要的非安全修复程序。重要补丁更新是累积式的,但是每个公告只描述自上一个重要补丁更新以来添加的安全修复程序。因此,要了解有关以前累积的安全修复程序的信息,应该查看以前的重要补丁更新公告。
考虑到成功攻击所带来的威胁,Oracle 强烈建议用户尽快应用修复程序。该重要补丁更新包含涉及所有产品的 51 个新安全修复程序。
受支持的产品和受影响的组件
该重要补丁更新解决的安全漏洞将影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在产品版本后面的 [方括号] 中。请单击 [方括号] 或可用补丁表中的链接,查看这些补丁的文档。
类别 I
首选支持或扩展支持(位于 Oracle 生命周期策略下)中的产品版本:
| • Oracle 数据库 10g 第 2 版,版本 10.2.0.2、10.2.0.3 |
[ 数据库 ] |
| • Oracle 数据库 10g,版本 10.1.0.5 |
[ 数据库 ] |
| • Oracle 数据库 9i 第 2 版,版本 9.2.0.8、9.2.0.8DV |
[ 数据库 ] |
| • Oracle 应用服务器 10g 第 3 版 (10.1.3),版本 10.1.3.0.0、10.1.3.1.0、10.1.3.2.0、10.1.3.3.0 |
[ 应用服务器 ] |
| • Oracle 应用服务器 10g 第 2 版 (10.1.2),版本 10.1.2.0.1 - 10.1.2.0.2、10.1.2.1.0、10.1.2.2.0 |
[ 应用服务器 ] |
| • Oracle 应用服务器 10g (9.0.4),版本 9.0.4.3 |
[ 应用服务器 ] |
| • Oracle 协作套件 10g,版本 10.1.2 |
[ 协作套件 ] |
| • Oracle 电子商务套件第 12 版,版本 12.0.0 - 12.0.3 |
[ 电子商务套件 ]
|
| • Oracle 电子商务套件 11i 版,版本 11.5.8 - 11.5.10 CU2 |
[ 电子商务套件 ]
|
| • Oracle 企业管理器数据库控制 10g 第 2 版,版本 10.2.0.2、10.2.0.3 |
[ 企业管理器 ]
|
| • Oracle 企业管理器数据库控制 10g 第 1 版,版本 10.1.0.5 |
[ 企业管理器 ]
|
| • Oracle 企业管理器网格控制 10g 第 1 版,版本 10.1.0.5、10.1.0.6 |
[ 企业管理器 ]
|
| • Oracle PeopleSoft Enterprise PeopleTools 版本 8.22、8.47、8.48、8.49 |
[ PeopleSoft/JDE ]
|
| • Oracle PeopleSoft Enterprise Human Capital Management 版本 8.9、9.0(缺勤管理模块) |
[ PeopleSoft/JDE ]
|
类别 II
与类别 I 中所列产品捆绑在一起的产品和组件。
该类别中的产品不受该重要补丁更新所包含的修复程序的影响。
类别 III
单独安装不受支持但与类别 I 中所列产品一同安装可获支持的产品:
| • Oracle 数据库 9i,版本 9.0.1.5 FIPS+ |
[ 应用服务器 ] |
| • Oracle 应用服务器 9i 第 1 版,版本 1.0.2.2 |
[ 电子商务套件 ] |
类别 III 中的产品只有在作为类别 I 中产品的一部分进行安装、并完全通过了受支持的配置和环境测试后,相应的补丁才可用。请参阅每种产品的文档,以了解有关补丁的支持与可用性的具体细节。
类别 IV
只在指定平台上受支持的产品。请查阅其他文档以获得详细信息。
该类别中的产品不受该重要补丁更新所包含的修复程序的影响。
可用补丁表与风险表
更新中的 Oracle 数据库、Oracle 应用服务器、Oracle 企业管理器网格控制、Oracle 电子商务套件应用程序(仅第 12 版)、JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft Enterprise Portal Applications 及 PeopleSoft Enterprise PeopleTools 补丁均是累积式的;每一期重要补丁更新都包含之前的重要补丁更新中的修复程序。
Oracle 电子商务套件应用程序 11i 版的补丁不是累积式的,因此 Oracle 电子商务套件应用程序客户如果要应用先前的安全性修复程序,应到之前的重要补丁更新中查找。Oracle 协作套件补丁是累积式的,它包括在 2007 年 4 月的重要补丁更新中提供的修复程序。从 2007 年 7 月的重要补丁更新开始,Oracle 协作套件安全修复程序将使用一次性补丁基础架构提供,Oracle 通常使用该基础架构为客户提供单个的错误修复程序。
对于所管理的每个 Oracle 产品,请在文档中查阅下表中提到的可用补丁信息和安装说明。有关该重要补丁更新的 Oracle 产品文档概述,请参阅 2007 年 10 月 Oracle 重要补丁更新文档概述 MetaLink 说明 455285.1。
风险表内容
风险表只列出与该公告有关的补丁新修复的安全漏洞。之前的安全性修复程序的风险表包含在之前的重要补丁更新公告中。
该重要补丁更新提出的几个漏洞影响着多个产品。同一个漏洞在所有风险表中显示时使用相同的漏洞号。斜体 表明其他产品领域中包含的代码中的漏洞。
Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及成功利用的可能结果的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析其自己的风险。出于策略方面的原因,Oracle 不会透露有关可能会导致漏洞被成功利用的利用条件或结果的详细信息。Oracle 不提供除 CPU 或安全警报通知、可用补丁表、自述文件和常见问题解答所提供信息以外的其他具体漏洞信息。Oracle 不向个别客户提供有关 CPU 或安全警报的预先通知。最后,Oracle 不会针对产品漏洞发布可利用的入侵代码或“验证性”代码。
从该重要补丁更新开始,安全漏洞现在使用 CVSS 版本 2.0 进行评估(参见 MetaLink 说明 394487.1)。以前的重要补丁更新使用 CVSS 版本 1.0 进行评估。为帮助进行从 CVSS 版本 1.0 到 CVSS 版本 2.0 的转换评估,MetaLink 说明 458015.1 仅针对该重要补丁更新提供了这两个版本的评估比较。
变通方法
考虑到成功攻击所带来的威胁,Oracle 强烈建议用户尽快应用修复程序。根据您的环境,可以通过限制攻击所需的网络协议来降低成功攻击的风险。对于需要特定权限或者需要访问特定程序包的攻击,删除无特权用户的权限或者使其无法访问这些程序包可能有助于降低成功攻击的风险。这两种方法都有可能损害应用程序功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。
不受支持的产品和不受支持的版本
不受支持的产品和版本没有测试过是否存在该重要补丁更新提出的安全漏洞。但是,早期的受影响版本的补丁集也可能会受这些安全漏洞的影响。
不再为生命周期支持策略的首选支持或扩展支持阶段中不再涵盖的产品版本提供重要补丁更新补丁。我们建议客户升级至最新的受支持 Oracle 产品版本,以获取补丁。
扩展支持阶段: 已购买生命周期支持策略下的扩展支持的客户可以使用重要补丁更新补丁。客户必须具有有效的扩展支持服务合同才能下载重要补丁更新补丁。更新通过持续支持来支持的产品或更新任何不受支持的产品无需下载重要补丁更新补丁。
受支持的产品按照 CPU 常见问题解答文档(参考部分中提供有链接)中概述的重要补丁更新策略进行修补。有关支持策略和支持阶段的详细指南,请查看技术支持策略。
Oracle 数据库和 Oracle 应用服务器的应请求 模式通告
Oracle 将仅为客户要针对下一个重要补丁更新(基于历史数据)下载的平台/版本组合预先创建补丁。只要客户要求,我们将为以前固定的 Oracle 数据库和 Oracle 应用服务器的平台/版本组合创建补丁。未来版本和补丁集中将继续包含漏洞修复程序。
有关下一个重要补丁更新支持的产品、版本和平台以及“应请求”补丁的请求流程的其他详细信息,请参阅针对 Oracle 服务器和中间件产品的可用重要补丁更新信息(MetaLink 说明 455287.1)的第 4.10 节(针对下一版 CPU 的计划补丁)。
致谢
该重要补丁更新提出的安全漏洞由以下人员或组织发现并向 Oracle 报告:Application Security, Inc. 的 Esteban Martinez Fayo、SEC Consult 的 Johannes Greil、与 TippingPoint 的零时差项目人员合作的 Joxean Koret、Red Database Security GmbH 的 Alexander Kornbrust 以及 Next Generation Security Software Ltd. 的 David Litchfield。
重要补丁更新日程表
重要补丁更新在距 1 月、4 月、7 月和 10 月的第 15 日最近的星期二发布。接下来的四个日期为:
- 2008 年 1 月 15 日
- 2008 年 4 月 15 日
- 2008 年 7 月 15 日
- 2008 年 10 月 14 日
参考
修改历史
附录 A — Oracle 数据库
Oracle 数据库执行概要
该重要补丁更新总共包含 28 个适用于 Oracle 数据库产品的新安全修复程序,分类如下:
-
27 个针对 Oracle 数据库的新安全修复程序。其中 5 个漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。没有适用于仅具有 Oracle 数据库客户端的安装(即,没有安装 Oracle 数据库的安装)的新安全性修复程序。
-
一个针对 Oracle Internet Directory 的新安全性修复程序。Oracle Internet Directory 是 Oracle 数据库 9i 第 2 版中一个可选产品,默认情况下不随 Oracle 数据库一同安装。如果没有安装此项,该软件不会出现,并且不需要 Oracle Internet Directory 补丁。
-
以下产品没有新的安全修复程序:
-
Oracle 安全企业搜索,它是一个独立产品,不随 Oracle 数据库一同安装。
- Oracle Audit Vault,它是一个独立产品,不随 Oracle 数据库一同安装。
-
Oracle HTTP Server,它是一个可选产品,不是 Oracle 数据库的默认安装项。Oracle 数据库版本直至并包括 Oracle 数据库 9i 第 2 版都允许将 Oracle HTTP Server 作为数据库的可选组件进行安装。Oracle 数据库版本 10g 以及更高版本将 Oracle HTTP Server 包含在附带的 CD 中。如果尚未应用先前的补丁,Oracle 建议将该重要补丁更新应用于受先前的重要补丁更新中修复的漏洞所影响的 Oracle HTTP Server 安装。如果没有安装 Oracle HTTP Server,该软件不会出现,并且不需要 Oracle HTTP Server 补丁。
-
Oracle Application Express(之前称为 HTML DB),但 2.2 之前的版本(包括版本 2.2)应该升级到最新版本。Oracle Application Express 是一个可选产品,不随 Oracle 数据库一同安装。如果尚未安装该软件(一些 Oracle 数据库版本的 Oracle 数据库 CD 集中的附带 CD 上提供了该软件),则该软件不会出现且不需要这些补丁。请参阅 2007 年 7 月重要补丁更新报告的附录 A,以获得更多信息。
Oracle 数据库风险表
| 漏洞号 |
组件 |
协议 |
所需的程序包和/或权限 |
无需身份验证即可远程利用? |
CVSS 版本 2.0 风险(参阅 394487.1) |
最早受影响的支持版本 |
最后受影响的补丁集(每个受支持版本) |
| 基本评分 |
访问向量 |
访问复杂性 |
身份验证 |
机密性 |
完整性 |
可用性 |
| DB01 |
Import |
Oracle Net |
创建过程 |
否 |
6.5 |
网络 |
低 |
一次性 |
部分+ |
部分+ |
部分+ |
9i |
9.0.1.5+, 10.1.0.5 |
| DB02 |
Export |
Oracle Net |
创建会话 |
否 |
5.5 |
网络 |
低 |
一次性 |
部分 |
部分 |
无 |
9i |
9.0.1.5+, 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.3 |
| DB03 |
Oracle Text |
Oracle Net |
CTX_DOC 上的执行权限 |
否 |
5.5 |
网络 |
低 |
一次性 |
部分 |
部分 |
无 |
10g |
10.1.0.5, 10.2.0.3 |
| DB04 |
Oracle Text |
Oracle Net |
创建会话 |
否 |
5.5 |
网络 |
低 |
一次性 |
部分+ |
部分+ |
无 |
9i |
9.0.1.5+, 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.3 |
| DB05 |
Oracle Text |
Oracle Net |
创建会话 |
否 |
5.5 |
网络 |
低 |
一次性 |
部分+ |
部分+ |
无 |
9i |
9.0.1.5+, 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.3 |
| DB06 |
Spatial |
SQL*NET |
创建会话 |
否 |
5.5 |
网络 |
低 |
一次性 |
部分+ |
部分+ |
无 |
9iR2 |
9.2.0.8, 9.2.0.8DV |
| DB07 |
Spatial |
Oracle Net |
创建会话 |
否 |
5.5 |
网络 |
低 |
一次性 |
部分+ |
部分+ |
无 |
9i |
9.0.1.5+, 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.3 |
| DB08 |
Workspace Manager |
Oracle Net |
创建会话 |
否 |
5.5 |
网络 |
低 |
一次性 |
部分 |
部分 |
无 |
9iR2 |
参见注释 1 |
| DB09 |
Workspace Manager |
Oracle Net |
创建会话 |
否 |
5.5 |
网络 |
低 |
一次性 |
部分 |
部分 |
无 |
9iR2 |
参见注释 1 |
| DB10 |
Workspace Manager |
Oracle Net |
创建会话 |
否 |
5.5 |
网络 |
低 |
一次性 |
部分 |
部分 |
无 |
9iR2 |
参见注释 1 |
| DB11 |
Workspace Manager |
Oracle Net |
创建会话 |
否 |
5.5 |
网络 |
低 |
一次性 |
部分 |
部分 |
无 |
9iR2 |
参见注释 1 |
| DB12 |
Workspace Manager |
Oracle Net |
创建会话 |
否 |
5.5 |
网络 |
低 |
一次性 |
部分 |
部分 |
无 |
9iR2 |
参见注释 1 |
| DB13 |
Workspace Manager |
Oracle Net |
创建会话 |
否 |
5.5 |
网络 |
低 |
一次性 |
部分 |
部分 |
无 |
9iR2 |
参见注释 1 |
| DB14 |
Workspace Manager |
Oracle Net |
创建会话 |
否 |
5.5 |
网络 |
低 |
一次性 |
部分 |
部分 |
无 |
9iR2 |
参见注释 1 |
| DB15 |
Workspace Manager |
Oracle Net |
创建会话 |
否 |
5.5 |
网络 |
低 |
一次性 |
部分 |
部分 |
无 |
9iR2 |
参见注释 1 |
| DB16 |
Workspace Manager |
Oracle Net |
创建会话 |
否 |
5.5 |
网络 |
低 |
一次性 |
部分 |
部分 |
无 |
9iR2 |
参见注释 1 |
| DB17 |
Workspace Manager |
Oracle Net |
创建会话 |
否 |
5.5 |
网络 |
低 |
一次性 |
部分 |
部分 |
无 |
9iR2 |
参见注释 1 |
| DB18 |
Workspace Manager |
Oracle Net |
创建会话 |
否 |
5.5 |
网络 |
低 |
一次性 |
部分 |
部分 |
无 |
9iR2 |
参见注释 1 |
| DB19 |
Advanced Security Option |
TCP |
无 |
是 |
5.0 |
网络 |
低 |
无 |
无 |
无 |
部分 |
9i |
9.0.1.5+, 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.3 |
| DB20 |
Core RDBMS |
网络 |
无 |
是 |
5.0 |
网络 |
低 |
无 |
无 |
无 |
部分+ |
9i |
9.0.1.5+, 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.3 |
| EM01 |
Database Control |
HTTP |
无 |
是 |
5.0 |
网络 |
低 |
无 |
部分 |
无 |
无 |
10g |
10.1.0.5, 10.2.0.3 |
| DB21 |
Oracle Database Vault |
HTTP |
无 |
是 |
5.0 |
网络 |
低 |
无 |
部分 |
无 |
无 |
9iR2 |
9.2.0.8DV, 10.2.0.3 |
| DB22 |
Oracle Net Services |
GIOP |
无 |
是 |
5.0 |
网络 |
低 |
无 |
无 |
无 |
部分 |
9i |
9.0.1.5+, 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.3 |
| DB23 |
XML DB |
FTP |
无 |
是 |
5.0 |
网络 |
低 |
无 |
无 |
部分 |
无 |
9iR2 |
9.2.0.8, 9.2.0.8DV, 10.1.0.5 |
| AS05 |
Oracle Internet Directory |
LDAP |
无 |
否 |
4.9 |
网络 |
中 |
一次性 |
部分 |
部分 |
无 |
9iR2 |
9.2.0.8, 9.2.0.8DV |
| DB24 |
Oracle Database Vault |
Oracle Net |
创建会话 |
否 |
4.3 |
本地 |
低 |
一次性 |
部分+ |
部分+ |
部分+ |
10gR2 |
10.2.0.3 |
| EM02 |
Oracle Help for Web |
HTTP |
无 |
是 |
4.3 |
网络 |
中 |
无 |
无 |
部分 |
无 |
10g |
10.2.0.3 |
| DB25 |
Advanced Queuing |
Oracle Net |
SYS.DBMS_AQADM 上的执行权限 |
否 |
4.0 |
网络 |
低 |
一次性 |
无 |
无 |
部分 |
9i |
9.0.1.5+, 10.1.0.5 |
| DB26 |
SQL Execution |
Oracle Net |
创建会话 |
否 |
4.0 |
网络 |
低 |
一次性 |
无 |
无 |
部分 |
10gR2 |
10.2.0.3 |
| DB27 |
Spatial |
Oracle Net |
创建会话 |
否 |
4.0 |
网络 |
低 |
一次性 |
无 |
无 |
部分 |
参见注释 2 |
参见注释 2 |
注意:
-
修复程序包含在 Workspace Manager 累积式补丁中。针对 10g 第 2 版、10g 第 1 版和 9i 第 2 版的 Workspace Manager 累积式补丁分别为 OWM 10.2.0.4.1、OWM 10.1.0.8.0 和 OWM 9.2.0.8.0。
-
在所有受支持的版本中得到修复。
-
9.0.1.5+ 指的是 Oracle 数据库 9i 版本 9.0.1.5 FIPS+,该版本仅与 Oracle 应用服务器 10g (9.0.4) 版本 9.0.4.3 结合使用。
仅具有 Oracle 数据库客户端的安装
本重要补丁更新包含的新数据库安全修复程序不影响仅具有 Oracle 数据库客户端的安装(即,没有安装 Oracle 数据库的安装)。
Oracle 安全企业搜索
Oracle 安全企业搜索 10g 是一个独立的产品,它能够对整个公司的企业信息资产进行搜索。如果您没有安装 Oracle 安全企业搜索产品,它不会出现在系统上,也不需要进一步的操作。
在前面的重要补丁更新公告中列出的 Oracle 安全企业搜索安全漏洞在 Oracle 安全企业搜索 10g 版本 10.1.8.2 中得到了修复。使用之前的安全企业搜索版本的客户应该升级到 10.1.8.2 版。您可以从联机文档中获得升级 Oracle 安全企业搜索的说明。本信息以及要安装的软件引用自 Oracle 技术网安全企业搜索页面,网址为:
http://www.oracle.com/technology/global/cn/products/oses/index.html。
Oracle 安全企业搜索 10g 包括 Oracle 数据库 10g 版本 10.1.0.5,而且由于影响该数据库版本的漏洞可能影响 Oracle 安全企业搜索,因此 Oracle 建议客户将 2007 年 10 月的重要补丁更新应用到嵌入式数据库。
Oracle Audit Vault
Oracle Audit Vault 10g 是一个从多个系统收集并分析审计数据的独立产品。如果您没有安装 Oracle Audit Vault 产品,它不会出现在系统上,也不需要进一步的操作。
Oracle Audit Vault 没有在这个或以前的重要补丁更新公告中列出的安全漏洞。使用之前的 Audit Vault 版本的客户应该升级到 10.2.2.1 版。有关 Oracle Audit Vault 的信息可以在联机文档中找到。本信息以及要安装的 Audit Vault 软件引用自 Oracle 技术网的 Audit Vault 页面,网址为:
http://www.oracle.com/technology/global/cn/products/audit-vault/index.html。
Oracle Audit Vault 10g 包括 Oracle 数据库 10g 版本 10.2.0.3,而且由于影响该数据库版本的漏洞可能影响 Oracle Audit Vault,因此 Oracle 建议客户将 2007 年 10 月的重要补丁更新应用到嵌入式数据库。
Oracle Application Express(之前称为 Oracle HTML DB)
Oracle Application Express(之前称为 Oracle HTML DB)是一个适用于 Oracle 数据库的快速 Web 应用程序开发工具。如果没有从 Oracle 数据库 CD 集提供的附带 CD 或从 Oracle 网站下载的程序包单独安装 Oracle Application Express,则该软件不会出现在系统上且无需进一步操作。
要检查系统中是否存在 Application Express,以 SYS 身份从 SQL 提示符运行以下命令:
select username from dba_users where username in ('FLOWS_010500','FLOWS_010600','FLOWS_020000','FLOWS_020200','FLOWS_030000');
如果结果是“no rows selected”,则没有安装该产品版本,无需进一步操作。其他输出表明安装了 Oracle Application Express,即使目前没有使用该软件。
以上风险表中没有列出 Oracle Application Express 安全漏洞。以前宣布的 Oracle Application Express 中的安全漏洞在版本 3.0 中得到了修复。所有之前的版本都应直接升级至 3.0.1 版。有关升级的说明以及安装 Oracle Application Express 3.0.1 版的软件,位于以下位置:
http://www.oracle.com/technology/global/cn/products/database/application_express/download.html
附录 B — Oracle 应用服务器
Oracle 应用服务器执行概要
该重要补丁更新包含 11 个适用于 Oracle 应用服务器的新安全修复程序。其中 7 个漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。没有适用于仅具有客户端的安装(即,没有安装 Oracle 应用服务器的安装)的新安全修复程序。
与 Oracle 数据库捆绑在一起的 Oracle 应用服务器产品受 Oracle 数据库部分中所列的漏洞影响。本部分并未对其作进一步讨论,也没有将它们列在 Oracle 应用服务器风险表中。
Oracle 应用服务器风险表
| 漏洞号 |
组件 |
协议 |
所需的程序包和/或权限 |
无需身份验证即可远程利用? |
CVSS 版本 2.0 风险(参阅 394487.1) |
最早受影响的支持版本 |
最后受影响的补丁集(每个受支持版本) |
| 基本评分 |
访问向量 |
访问复杂性 |
身份验证 |
机密性 |
完整性 |
可用性 |
| AS01 |
Oracle Process Mgmt & Notification |
ONS |
无 |
是 |
6.8 |
网络 |
中 |
无 |
部分+ |
部分+ |
部分+ |
10.1.3 |
10.1.3.3 |
| AS02 |
Oracle Portal |
HTTP |
无 |
是 |
5.8 |
网络 |
中 |
无 |
部分 |
部分 |
无 |
10.1.2 |
10.1.2.0.2, 10.1.4.1 |
| AS03 |
Oracle HTTP Server |
HTTP |
无 |
是 |
5.0 |
网络 |
低 |
无 |
无 |
无 |
部分+ |
10.1.3 |
10.1.3.2 |
| AS04 |
Oracle Portal |
HTTP |
无 |
是 |
5.0 |
网络 |
低 |
无 |
部分+ |
无 |
无 |
9.0.4 |
9.0.4.3, 10.1.2.0.2 |
| AS05 |
Oracle Internet Directory |
LDAP |
无 |
否 |
4.9 |
网络 |
中 |
一次性 |
部分 |
部分 |
无 |
参见注释 1 |
参见注释 1 |
| AS06 |
Oracle Containers for J2EE |
HTTP |
无 |
是 |
4.3 |
网络 |
中 |
无 |
无 |
部分 |
无 |
9.0.4 |
9.0.4.3, 10.1.2.0.2, 10.1.2.2, 10.1.3.3 参见注释 2 |
| AS07 |
Oracle Portal |
HTTP |
无 |
是 |
4.3 |
网络 |
中 |
无 |
部分 |
无 |
无 |
10.1.4 |
10.1.4.1 |
| AS08 |
Oracle Internet Directory |
LDAP |
有效会话 |
否 |
4.0 |
网络 |
低 |
一次性 |
部分 |
无 |
无 |
9.0.4 |
9.0.4.3, 10.1.2.0.2, 10.1.2.2, 10.1.4.0 |
| AS09 |
Oracle Single Sign-On |
HTTP |
有效会话 |
否 |
3.5 |
网络 |
中 |
一次性 |
无 |
部分 |
无 |
9.0.4 |
9.0.4.3, 10.1.2.0.2, 10.1.2.2 |
| AS10 |
Oracle Single Sign-On |
HTTP |
无 |
否 |
3.5 |
网络 |
中 |
一次性 |
无 |
部分 |
无 |
9.0.4 |
9.0.4.3, 10.1.2.0.2, 10.1.2.2, 10.1.4.0.1 |
| AS11 |
Oracle Portal |
HTTP |
无 |
是 |
2.6 |
网络 |
High |
无 |
部分 |
无 |
无 |
10.1.2 |
10.1.2.0.2, 10.1.2.2, 10.1.4.1 |
注意:
- 在所有受支持的应用服务器版本中得到了修复。请参见 Oracle 数据库风险表,查看受影响的 Oracle 数据库版本。
- 该漏洞是由易受攻击的开源示例导致的。有关信息,请参见版本说明。
仅具有 Oracle 应用服务器客户端的安装
该重要补丁更新中包含的新安全修复程序不影响仅具有 Oracle 应用服务器客户端的安装。
附录 C — Oracle 协作套件
Oracle 协作套件执行概要
该重要补丁更新中没有 Oracle 协作套件特定的新修复程序。
该重要补丁更新包含 7 个 Oracle 协作套件中的代码中出现的 Oracle 应用服务器漏洞的修复程序。由于具有 Oracle 协作套件自定义文件,因此还需要执行 MetaLink 说明 445172.1 中的步骤。
Oracle 协作套件绑定了 Oracle 数据库。Oracle 数据库部分中的 Oracle 数据库部分中列出的所有安全性修复程序都适用。该公告中引用的 Oracle 协作套件文档列出了 Oracle 协作套件实例上应该安装用来修复这些 Oracle 数据库问题的补丁。
Oracle 协作套件风险表
| 漏洞号 |
组件 |
协议 |
所需的程序包和/或权限 |
无需身份验证即可远程利用? |
CVSS 版本 2.0 风险(参阅 394487.1) |
最早受影响的支持版本 |
最后受影响的补丁集(每个受支持版本) |
| 基本评分 |
访问向量 |
访问复杂性 |
身份验证 |
机密性 |
完整性 |
可用性 |
| AS02 |
Oracle Portal |
HTTP |
无 |
是 |
5.8 |
网络 |
中 |
无 |
部分 |
部分 |
无 |
10.1.2 |
10.1.2 |
| AS04 |
Oracle Portal |
HTTP |
无 |
是 |
5.0 |
网络 |
低 |
无 |
部分+ |
无 |
无 |
10.1.2 |
10.1.2 |
| AS06 |
Oracle Containers for J2EE |
HTTP |
无 |
是 |
4.3 |
网络 |
中 |
无 |
无 |
部分 |
无 |
10.1.2 |
10.1.2 |
| AS08 |
Oracle Internet Directory |
LDAP |
有效会话 |
否 |
4.0 |
网络 |
低 |
一次性 |
部分 |
无 |
无 |
10.1.2 |
10.1.2 |
| AS9 |
Oracle Single Sign-On |
HTTP |
有效会话 |
否 |
3.5 |
网络 |
中 |
一次性 |
无 |
部分 |
无 |
10.1.2 |
10.1.2 |
| AS10 |
Oracle Single Sign-On |
HTTP |
无 |
否 |
3.5 |
网络 |
中 |
一次性 |
无 |
部分 |
无 |
10.1.2 |
10.1.2 |
| AS11 |
Oracle Portal |
HTTP |
无 |
是 |
2.6 |
网络 |
High |
无 |
部分 |
无 |
无 |
10.1.2 |
10.1.2 |
附录 D — Oracle 电子商务套件和应用程序
Oracle 电子商务套件和应用程序执行概要
该重要补丁更新包含 8 个适用于 Oracle 电子商务套件的新安全修复程序。其中 1 个漏洞无需身份验证即可远程利用,即可以通过网络利用该漏洞而无需用户名和口令。1 个安全漏洞影响仅具有 Oracle 电子商务套件客户端的安装。
Oracle 电子商务套件 11i 包括 Oracle9i 应用服务器 1.0.2.2 版代码,其中包括 Oracle Reports Developer。该重要补丁更新中修复的 Oracle 应用服务器漏洞不会影响该版本。
Oracle 电子商务套件产品包括一个受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库。Oracle 电子商务套件产品暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库漏洞没有列在 Oracle 电子商务套件风险表中,但应对其进行修补。
没有特定于 Oracle Life Sciences Applications(先前称为 Oracle Pharmaceutical Applications)的新安全修复程序。但是,Oracle Life Sciences Applications 包括需要进行修补的 Oracle 应用服务器组件。Oracle Life Sciences Applications 暴露在危险中的程度取决于所使用的 Oracle 应用服务器版本。请参阅 Oracle 应用服务器部分,以了解更多信息。
Oracle Life Sciences Applications 包括一个受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库软件。Oracle Life Sciences Applications 暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库漏洞没有列在 Oracle Life Sciences Applications 风险表中,但应对其进行修补。
Oracle Life Sciences Applications 客户应参阅 MetaLink 说明 455298.1,以获得有关安装 Oracle 应用服务器和 Oracle 数据库安全补丁的详细信息。
Oracle 电子商务套件风险表
| 漏洞号 |
组件 |
协议 |
所需的程序包和/或权限 |
无需身份验证即可远程利用? |
CVSS 版本 2.0 风险(参阅 394487.1) |
最早受影响的支持版本 |
最后受影响的补丁集(每个受支持版本) |
| 基本评分 |
访问向量 |
访问复杂性 |
身份验证 |
机密性 |
完整性 |
可用性 |
| APP01 |
Oracle Application Object Library |
HTTP |
有效会话 |
否 |
6.0 |
网络 |
中 |
一次性 |
部分 |
部分 |
部分 |
11.5.8 |
11.5.10.2 |
| APP02 |
Oracle Contracts Integration |
HTTP |
有效会话 |
否 |
5.5 |
网络 |
低 |
一次性 |
部分 |
部分 |
无 |
11.5.8 |
11.5.10.2 |
| APP03 |
Oracle Public Sector Human Resources |
HTTP |
有效会话 |
否 |
5.5 |
网络 |
低 |
一次性 |
部分+ |
部分+ |
无 |
11.5.8 |
12.0.2 |
| APP04 |
Oracle Applications Manager |
HTTP |
无 |
是 |
5.0 |
网络 |
低 |
无 |
无 |
无 |
部分+ |
11.5.8 |
11.5.10.2 |
| APP05 |
Oracle Marketing |
HTTP |
有效会话 |
否 |
4.0 |
网络 |
低 |
一次性 |
部分 |
无 |
无 |
11.5.8 |
11.5.10.2 |
| APP06 |
Oracle Quoting |
HTTP |
有效会话 |
否 |
4.0 |
网络 |
低 |
一次性 |
部分+ |
无 |
无 |
11.5.8 |
12.0.2 |
| APP07 |
Oracle Exchange |
HTTP |
无 |
否 |
2.1 |
本地 |
低 |
无 |
部分 |
无 |
无 |
11.5.8 |
11.5.10.2 |
| APP08 |
Oracle Self-Service Web Applications |
HTTP |
有效会话 |
否 |
0.0 |
网络 |
低 |
一次性 |
无 |
无 |
无 |
11.5.8 |
11.5.10.2 参见注释 1 |
注意:
-
影响仅具有客户端的安装。
附录 E — Oracle 企业管理器
Oracle 企业管理器执行概要
该重要补丁更新中包含 2 个新的 Oracle 企业管理器安全性修复程序。
Oracle 企业管理器 10g 网格控制包含 Oracle 数据库和 Oracle 应用服务器组件,这些组件受 Oracle 数据库和 Oracle 应用服务器部分中所列漏洞的影响。影响 Oracle 企业管理器特定实例的 Oracle 数据库和 Oracle 应用服务器漏洞取决于所使用的 Oracle 数据库和 Oracle 应用服务器版本。有关更多信息,请参考本文档相应部分的风险表。重要补丁更新包括适用于可安装在 Oracle 企业管理器环境中的 Oracle 数据库和 Oracle 应用服务器的补丁,应该安装这些补丁。
Oracle 企业管理器 10g 网格控制之前的 Oracle 企业管理器版本包含 Oracle 数据库组件,这些组件受 Oracle 数据库部分中所列漏洞的影响。影响 Oracle 企业管理器特定实例的 Oracle 数据库漏洞取决于所使用的 Oracle 数据库版本。有关更多信息,请参考本文档相应部分的风险表。重要补丁更新包含适用于可安装在 Oracle 企业管理器环境中的 Oracle 数据库的补丁,应该安装这些补丁。
Oracle 企业管理器风险表
| 漏洞号 |
组件 |
协议 |
所需的程序包和/或权限 |
无需身份验证即可远程利用? |
CVSS 版本 2.0 风险(参阅 394487.1) |
最早受影响的支持版本 |
最后受影响的补丁集(每个受支持版本) |
| 基本评分 |
访问向量 |
访问复杂性 |
身份验证 |
机密性 |
完整性 |
可用性 |
| EM01 |
Database Control |
HTTP |
无 |
是 |
5.0 |
网络 |
低 |
无 |
部分 |
无 |
无 |
参见注释 1 |
参见注释 1 |
| EM02 |
Oracle Help for Web |
HTTP |
无 |
是 |
4.3 |
网络 |
中 |
无 |
无 |
部分 |
无 |
10g |
10.1.0.6 参见注释 2 |
| AS10 |
Oracle Single Sign-On |
HTTP |
有效会话 |
否 |
3.5 |
网络 |
中 |
一次性 |
无 |
部分 |
无 |
10gR2 |
10.1.2 |
注意:
-
该安全修复程序包含在数据库安全修复程序中。
-
这是 Oracle Help for Web(属于产品的应用服务器套件)中的一个漏洞。所有受支持的应用服务器版本都包含该修复程序。请参阅不受支持的产品和不受支持的版本部分,以了解有关受支持产品的更多信息。使用不受支持的应用服务器版本的企业管理器网格控制用户应该升级到受支持的应用服务器版本,以确保不会因该问题而受到攻击。
附录 F — Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne
Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 执行概要
该重要补丁更新包含 2 个适用于 Oracle PeopleSoft Enterprise PeopleTools 的新安全修复程序,以及 1 个适用于 PeopleSoft Enterprise Human Capital Management 的新安全修复程序。所有这些安全漏洞都不能不经身份验证而进行远程利用,即不能通过网络利用这些漏洞而无需用户名和口令。
没有影响 JD Edwards 产品的新的安全性修复程序。
Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 风险表
| 漏洞号 |
组件 |
协议 |
所需的程序包和/或权限 |
无需身份验证即可远程利用? |
CVSS 版本 2.0 风险(参阅 394487.1 和客户连接) |
最早受影响的支持版本 |
最后受影响的补丁集(每个受支持版本) |
| 基本评分 |
访问向量 |
访问复杂性 |
身份验证 |
机密性 |
完整性 |
可用性 |
| PSE01 |
People Tools |
HTTP |
无 |
否 |
4.9 |
网络 |
中 |
一次性 |
部分+ |
部分+ |
无 |
8.22 GA, 8.47 GA, 8.48 GA, 8.49 GA |
8.22.17, 8.47.14, 8.48.13, 8.49.05 |
| PSE02 |
People Tools |
HTTP |
有效会话 |
否 |
4.0 |
网络 |
低 |
一次性 |
无 |
部分 |
无 |
8.47 GA, 8.48 GA, 8.49 GA |
8.47.14, 8.48.13, 8.49.05 |
| PSE_HCM01 |
HCM |
HTTP |
有效会话 |
否 |
4.0 |
网络 |
低 |
一次性 |
部分 |
无 |
无 |
8.9 GA, 9.0 GA |
8.9 Bundle 13, 9.0 Bundle 3 |
| 
书签
