ضمان أمان البرامج

Oracle Software
Security Assurance

برنامج تحديثات التصحيحات المهمة

الآلية الرئيسية المتبعة في حمل إصلاحات الثغرات الأمنية عكسيًا في منتجات Oracle هو برنامج تحديث التصحيحات المهمة الربع سنوي. يتم إصدار تحديثات التصحيحات المهمة في تواريخ يتم الإعلان عنها قبل عام من إصدارها ويتم نشرها في صفحة تنبيهات الأمان وتحديثات التصحيحات المهمة. تقوم التصحيحات بمعالجة الثغرات الأمنية الهامة كما تتضمن أيضًا التعليمات البرمجية التي تعد شروطًا مسبقة لإصلاحات الأمان.

تتوفر تحديثات الأمان لجميع المنتجات التي يتم فحصها باستخدام تحديثات التصحيحات المهمة لعملاء Oracle Support النشطاء على My Oracle Support. اتبع الروابط الموجودة أدناه لمعرفة المزيد حول ‏‫سياسات إصلاح الأمان من Oracle‎.

برنامج تنبيهات الأمان

تنبيهات الأمان هي آلية إصدار لإصلاح ثغرة أمنية واحدة أو عدد صغير من إصلاحات الثغرات الأمنية. وقد كانت تنبيهات الأمان مستخدمة حتى أغسطس 2004 باعتبارها آلية الإصدار الرئيسية المستخدمة لتصحيح ثغرات الأمان. بدأت شركة Oracle في يناير 2005 إصدار الإصلاحات باستخدام تحديثات التصحيحات المهمة وفقًا لجدول زمني محدد.

وقد تصدر شركة Oracle تنبيه الأمان في حالة مواجهة عملائنا لتهديد فريد أو خطير. في حالة حدوث ذلك، سيتم إخطار العملاء بتنبيه الأمان بواسطة إخطار البريد الإلكتروني من خلال My Oracle Support وOracle Technology Network. سيتم أيضًا تضمين الإصلاح المتضمن في تنبيه الأمان عند إصدار تحديثات التصحيحات المهمة القادمة.


التصحيحات المتراكمة مقابل التصحيحات الفريدة

تحاول Oracle بقدر المستطاع أن تجعل إجراء تحديثات التصحيحات المهمة على أساس تراكمي؛ بمعنى أن يحتوي كل تحديث من تحديثات التصحيحات المهمة على إصلاحات الأمان التي وردت في جميع تحديثات التصحيحات المهمة السابقة. من الناحية العملية، يعد آخر تحديث للتصحيحات المهمة، بالنسبة للمنتجات التي تتلقى إصلاحات متراكمة، هو التحديث الوحيد الذي نحتاج إلى تطبيقه عند استخدام هذه المنتجات حيث إنه يحتوي على كافة الإصلاحات المطلوبة.

يتم إصدار الإصلاحات التي تجرى على المنتجات الأخرى والتي لا تتم على أساس تراكمي كتصحيحات فريدة. ومن الضروري أن تُشر هذه المنتجات إلى التقارير الاستشارية لتحديثات التصحيحات المهمة السابقة للعثور على كافة التصحيحات التي يجب إجراؤها.


الإعلان عن إصلاحات الأمان

تنص سياسة شركة Oracle على الإعلان عن إصلاحات الأمان لدى توفرها لجميع مجموعات الأنظمة الأساسية وإصدارات المنتجات المعنية والمدعومة بقدر الإمكان. وعلى الرغم من ذلك، هناك استثناءان لهذه السياسة:

  1. 1. برنامج عند الطلب: لا تقوم شركة Oracle بإصدار التصحيحات بشكل منهجي لبعض مجموعات الأنظمة الأساسية وإصدارات المنتجات التي سجلت في السابق أقل معدلات تنزيل للتصحيحات من قبل العملاء. يجب أن يقوم العملاء بطلب إصدار مثل هذه التصحيحات. ترد تفاصيل البرنامج "عند الطلب" وعملية طلب مثل هذه التصحيحات لتحديثات تصحيحات الأمان الأخيرة أو المستقبلية بشكل مُفصل في مستند توفر التصحيحات المصاحب لكل إصدار من إصدارات تحديثات التصحيحات المهمة.
  2. 2. تأخيرات طفيفة في توافر التصحيح لمدة تصل إلى أسبوعين من تاريخ الإعلان يرجع إلى حدوث مشكلات تقنية أثناء إنتاج أو اختبار التصحيح.

الرجاء العلم أنه في بعض الظروف، يمكن أن تحتوي تحديثات التصحيحات المهمة لمجموعات معينة من الإصدارات والأنظمة الأساسية على إصلاحات ثغرات معلنة وغير معلنة. يمكن تضمين إصلاح ثغرات غير معلنة في تحديث تصحيح معين ويتم فيه إصلاح بعض، ولكن ليس كل، أجزاء الثغرة، أو لأن الإصلاح متاح في بعض، ولكن ليس كل، إصدارات منتج معين لكل الأنظمة الأساسية.


مجموعات التصحيحات وإصلاحات الأمان

يتم تضمين إصلاحات الأمان أيضًا في مجموعات التصحيحات (أو ما يعادلها) وفي إصدارات المنتجات الجديدة. وتقضي سياسة Oracle بتضمين كافة إصلاحات الأمان في تحديث للتصحيحات المهمة في مجموعات التصحيحات أو إصدارات المنتجات اللاحقة. إذا لم يكن ذلك ممكنًا بسبب توقيت الإصدار، تنتج Oracle تصحيحًا يحتوي على آخر إصلاحات تحديث التصحيحات المهمة التي يمكن تطبيقها على مجموعة التصحيح التي صدرت حديثًا أو إصدارات المنتج.


نظام إصلاح الثغرات الأمنية

من أجل توفير أفضل وضع أمني لجميع عملاء Oracle، تقوم Oracle بإصلاح الثغرات الأمنية المهمة طبقًا للخطورة المحتملة التي تفرضها على العملاء. ونتيجة لذلك، فإن المشكلات ذات المخاطر الأكثر حدة يتم دائما إصلاحها أولاً. يتم إنتاج إصلاحات الثغرات الأمنية بالترتيب التالي:

  • السطر الأساسي الأول للتعليمة البرمجية—هو سطر التعليمة البرمجية الذي يجري تطويره من أجل الإصدار الرئيسي التالي للمنتج.
  • بالنسبة لكل إصدار مدعوم به ثغرات:
    • السطر الأساسي الأول للتعليمة البرمجية—هو سطر التعليمة البرمجية الذي يجري تطويره من أجل الإصدار الرئيسي التالي للمنتج.
    • تكاليف الإدارة أقل—يستبعد جدول تحديث التصحيحات المهمة المحدد التخمين من إدارة تصحيح الثغرات. ويتم تصميم الجدول أيضًا لتجنب تواريخ الإيقاف النمطية التي لا يمكن للعملاء خلالها تغيير بيئات الإنتاج الخاصة بهم.
    • إدارة تصحيح الثغرات المبسطة—تعد تحديثات تصحيح الثغرات تراكمية للكثير من منتجات Oracle. وهذا يتيح للعملاء القدرة على إدراك مستوى إصدار الأمان الحالي سريعًا، منذ أن أصلح تطبيق تحديث التصحيح المهم التراكمي الحديث جميع الثغرات التي تم تناولها سابقًا.
    • تحديد ثغرات التصميم—يمكن أن تؤدي عمليات التقييم الأمني إلى التعرّف على الثغرات الأمنية في التصميم

لاحظ أن Oracle توصي بشدة أن يستخدم العملاء إصدارات المنتج المدعومة فقط، وأن يطبق العملاء إصلاحات تحديث التصحيحات المهمة بدون تأخير على الإصدارات التي يستخدمونها. ويرجع السبب في هذا إلى أن Oracle لا توفر الإصلاحات لإصدارات المنتجات خارج نطاق الدعم. ومع ذلك، تزداد احتمالية تعرضهم للثغرات الأمنية التي جرى إصلاحها باستخدام تصحيحات تحديث التصحيحات المهمة (CPU)، وغالبًا ما تعكس العوامل الضارة إصلاحات تحديث التصحيحات المهمة (CPU) هندسيًا، وتستخدمها كأسلحة، وتحاول استغلال هذه المشكلات بشكل ضار بعد نشر كل إصدار من إصدارات تحديث التصحيحات المهمة (CPU) بفترة وجيزة.

ملاحظة هامة: يُرجى تذكر أن Oracle توصي باعتبار تحديث التصحيحات المهمة الوسيلة الأساسية للعملاء لمواكبة إصلاحات الأمان لجميع المنتجات المتأثرة، حيث يتم إصدارها بشكل متكرر أكثر من مجموعات التصحيح أو إصدارات المنتج الجديدة.


وثائق تحديثات التصحيحات المهمة

لكل تحديث للتصحيحات المهمة، هناك تقرير استشاري يتم اعتباره وثيقة المستوى الأعلى له. ويسرد هذا التقرير المنتجات المتأثرة ويحتوي على مصفوفة المخاطر بالنسبة لكل مجموعة منتجات.


مصفوفات المخاطر

توفر مصفوفات الخطر المعلومات لمساعدة العملاء على تقييم المخاطر التي تشكلها الثغرات الأمنية في بيئة التشغيل الخاصة بها. يمكن أن تستخدم لتحديد الأنظمة الأكثر عرضة للخطر بحيث يمكن تصحيحها أولاً. يتم سرد كل ثغرة أمنية جديدة تم تصليحها في تحديث التصحيحات المهمة في صف من مصفوفة المخاطر للمنتج.


نظام تسجيل الثغرات الشائعة (CVSS)

في أكتوبر 2006، تحولت Oracle من أسلوب الملكية مما يدل على نسبية شدة الثغرات الأمنية في مصفوفات المخاطر على ‎نظام تسجيل الثغرات الشائعة (CVSS) موقع FIRST الإلكتروني يصف نظام تسجيل الثغرات الشائعة كنظام تصنيف “مصمم لتوفير تصنيفات شدة ثغرات البرمجيات مفتوحة وموحدة عالميًا.“ ‏‎نظام تسجيل الثغرات الشائعة هو طريقة موحدة لتقييم شدة الثغرات الأمنية. لكل ثغرة تم إصلاحها حديثًا في تحديث التصحيحات المهمة، توفر Oracle قيمًا لمقاييس نظام تسجيل الثغرات الشائعة (CVSS) تُبين الشروط المسبقة اللازمة لاستغلال الثغرات وسهولة الاستغلال وأثر الهجوم الناجح من حيث السرية والنزاهة والتوافر (CIA) للنظام المستهدف. يستخدم النظام صيغة لتحويل هذه المعلومات إلى النقاط الأساسية بين 0.0 و10.0، حيث 10.0 يمثل أشد ضعف. يتم ترتيب مصفوفات المخاطر طبقًا لأعلى نتيجة للنظام، بوجود الثغرة الأشد في الأعلى. تم اعتماد الإصدار 3.0 من معيار النظام من قبل شركة Oracle في أبريل 2016، ويجري استخدامه حاليًا. يقدم استخدام نظام تسجيل الثغرات الشائعة (CVSS) من قبل Oracle شرحًا مفصلاً عن كيفية تطبيق تصنيفات نظام تسجيل الثغرات الشائعة في التقارير الاستشارية للمخاطر من Oracle.


المخاطر والثغرات الأمنية الشائعة (CVE)

يتم استخدام أرقام المخاطر والثغرات الأمنية الشائعة من قبل Oracle لتحديد الثغرات المدرجة في مصفوفات المخاطر في التقارير الاستشارية لتحديث التصحيحات المهمة وتنبيهات الأمان. تعتبر تلك الأرقام فريدة من نوعها، ومُعرّفات مشتركة للحصول على معلومات معروفة علنًا عن الثغرات الأمنية. وشارك في رعاية برنامج المخاطر والثغرات الأمنية الشائعة مكتب أمان الإنترنت والاتصالات في وكالة الأمن الوطني الأمريكية وتديره شركة MITRE. تعتبر Oracle هيئة ترقيم لبرنامج المخاطر والثغرات الأمنية الشائعة (CNA)، مما يعني أن بإمكان الشركة أن تصدر أرقامًا عن المخاطر والثغرات الأمنية الشائعة (CVE) في منتجاتها. ‏‫لاحظ أن ترتيب أرقام المخاطر والثغرات الأمنية الشائعة (CVE) في تقارير Oracle الاستشارية الأمنية لا يتوافق بالضرورة مع مواعيد اكتشاف الثغرات المشار إليها. أي بعبارة أخرى، لا يتم تعيين الأرقام وفقًا لترتيب مواعيد اكتشاف الثغرات التي سيتم تسليمها في توزيعات الإصلاحات تلك. وذلك لأن سلطات الترقيم مثل Oracle تحصل بشكل دوري على مجموعات من الأرقام من شركة MITRE حتى لا يتطلب الأمر إرسال طلب منفصل جديد كل مرة يتم فيها اكتشاف ثغرة. يتم تعيين أرقام المخاطر والثغرات الأمنية الشائعة إلى الثغرات بالتتابع من قبل شركة Oracle من مجموعة لأرقام المخاطر والثغرات الأمنية الشائعة تُعينها المؤسسة المعنية قبل حوالي 3 إلى 4 أسابيع قبل التوزيع المقرر للإصلاح من خلال برنامج تحديث التصحيحات المهمة.


الموجز التنفيذي

من أجل مساعدة المؤسسات على سرعة تقييم أهمية المشكلات الأمنية المحتملة التي تم إصلاحها في تحديث التصحيحات المهمة‬، توفر Oracle ملخصًا تنفيذيًا يحتوي على خلاصة مستوى عالٍ من العيوب الأمنية في كل منتج تمت معالجته من قبل تحديث التصحيحات المهمة‬. ويقدم هذا الملخص التنفيذي شرحًا كاملاً باللغة الإنجليزية عن الثغرات التي تم تناولها في تحديث التصحيحات المهمة.


إعلان ما قبل إصدار تحديث التصحيحات المهمة.

تنشر Oracle ملخصًا لوثائق تحديثات التصحيحات المهمة في يوم الخميس قبل حلول تاريخ إصدار كل تحديث لتصحيحات مهمة. هذا الملخص، يسمى "إعلان ما قبل إصدار تحديثات التصحيحات المهمة"، ويقدم معلومات متقدمة عن تحديث التصحيحات المهمة التالية، وتشمل:

  • أسماء وأرقام إصدارات منتجات Oracle المتأثرة بالثغرات الجديدة التي يتم إصلاحها في تحديث التصحيحات المهمة.
  • أرقام تصحيحات الأمان لكل مجموعة منتجات
  • أعلى النتائج الأساسية لـ CVSS لكل مجموعة منتجات
  • وربما أي معلومات أخرى ذات صلة قد تساعد المؤسسات في التخطيط لتطبيقات تحديث التصحيحات المهمة في بيئتها

في حين تؤكد Oracle أن كل إعلان ما قبل الإصدار عند نشره يكون دقيقًا بقدر الإمكان، فقد يتغير المحتوى الفعلي لكل تحديث تصحيحات مهمة بعد نشر إعلان ما قبل الإصدار الخاص به. لذا ينبغي النظر في التقرير الاستشاري لتحديث التصحيحات المهمة باعتباره الوصف الدقيق الوحيد للمحتوى الفعلي لتحديث التصحيحات المهمة.


معرفة المزيد