Programa de Atualizações Críticas de Patches

O mecanismo principal para backport de correções de vulnerabilidades na segurança de produtos Oracle é o programa de CPU (Critical Patch Updates, Atualizações críticas de patches) trimestral. Atualizações Críticas de Patches são executadas em datas anunciadas com um ano de antecipação e publicadas na página Atualizações Críticas de Patches e Alertas de Segurança. Patches solucionam vulnerabilidades significativas de segurança e também incluem correções de códigos que são pré-requisitos para correções de segurança.

As atualizações de segurança de todos os produtos que recebem CPUs estão disponíveis para clientes ativos do Oracle Support em My Oracle Support. Siga os links abaixo para aprender mais sobre as políticas de Correção de Segurança da Oracle.

Programa de Alertas de Segurança

Alertas de Segurança são um mecanismo que executa uma correção de vulnerabilidade ou um pequeno número de correções de vulnerabilidade. Alertas de Segurança foram usados até agosto de 2004 como veículo principal para correções de segurança. Em janeiro de 2005, a Oracle começou a executar correções regularmente, usando Atualizações Críticas de Patches.

A Oracle pode emitir um Alerta de Segurança, caso ocorra uma ameaça única ou perigosa para nossos clientes. Nesse evento, clientes serão notificados sobre o Alerta de Segurança por uma notificação por e-mail do My Oracle Support e da Oracle Technology Network. A correção incluída no Alerta de Segurança também será incluída na próxima Atualização Crítica de Patches.


Patches Únicos versus Cumulativos

Sempre que possível, a Oracle tenta fazer Atualizações Críticas de Patches cumulativas, ou seja, cada Atualização Crítica de Patches contém as correções de segurança de Atualizações Críticas de Patches anteriores. Em termos práticos, para os produtos que recebem correções cumulativas, a Atualização Crítica de Patches mais recente é a única que precisa ser aplicada quando utilizar somente esses produtos, pois ela contém todas as correções necessárias.

Para outros produtos que não recebem correções cumulativas, as correções são executadas como patches únicos. É necessário consultar a Atualização Crítica de Patches anterior para encontrar todos os patches que precisam ser aplicados nesses produtos.


Anúncio de Correções de Segurança

Faz parte da política da Oracle anunciar a maior quantidade possível de correções de segurança somente quando estiverem disponíveis para todas as combinações de plataformas e versões de produto com suporte ou afetadas. Entretanto, há duas exceções para essa política:

  1. 1. Programa Mediante Solicitação: A Oracle não produz patches sistematicamente para certas combinações de plataformas e versões de produtos com histórico de download de patches baixos executados por clientes. A produção desses patches deve ser solicitada por clientes. O programa 'mediante solicitação' e o processo de solicitar esses patches para CPUs recentes ou futuras está detalhado no Documento de Disponibilidade de Patches que acompanha cada versão de Atualização Crítica de Patches.
  2. 2. Atrasos menores de até duas semanas na disponibilização de patches a partir da data do anúncio geralmente são devido a problemas técnicos durante a produção ou testes do patch.

Observe que, em certos casos, as Atualizações Críticas de Patches para combinações de produtos de plataforma de uma versão específica podem consistir em correções de vulnerabilidades anunciadas e não anunciadas. Uma correção anunciada de vulnerabilidade pode estar incluída em um patch de Atualização Crítica de Patches específico quando algumas, mas não todas as partes da vulnerabilidade são corrigidas ou porque a correção está disponível em algumas, mas não todas as versões de combinações de plataformas de um determinado produto.


Conjuntos de Patches e Correções de Segurança

Correções de segurança também estão incluídas em conjuntos de patches (ou equivalentes) e em novas versões do produto. A política da Oracle inclui todas as correções de segurança de uma Atualização Crítica de Patches em conjuntos de patches e versões do produto subsequentes. Se isso não for possível devido ao tempo de uma versão, a Oracle criará um patch contendo as correções de Atualização Crítica de Patches mais recentes que poderão ser aplicadas na versão mais recente do produto ou conjunto de patches.


Pedido de Correção de Vulnerabilidades de Segurança

Para oferecer a melhor segurança para seus clientes, a Oracle segue uma ordem de severidade ao corrigir vulnerabilidades baseadas no risco provável de seus clientes. Consequentemente, os problemas com os riscos mais sérios são corrigidos primeiro. As correções de vulnerabilidades de segurança são produzidas na seguinte ordem:

  • Primeiro, a linha de código principal: a linha de código desenvolvida para a próxima versão principal do produto.
  • Para cada versão com suporte que seja vulnerável:
    • Primeiro, a linha de código principal: a linha de código desenvolvida para a próxima versão principal do produto.
    • Redução dos custos de administração — Uma programação de CPU fixa elimina as adivinhações do gerenciamento de patches. A programação também foi projetada para evitar datas de blecaute típicas durante as quais os clientes não conseguem alterar seus ambientes de produção.
    • Gerenciamento simplificado de patches — As atualizações de patches são cumulativas para muitos produtos Oracle. Isso permite aos clientes fazer rapidamente uma atualização para o nível de segurança atual, pois o aplicativo de CPU cumulativa mais recente soluciona todas as vulnerabilidades encontradas anteriormente.
    • Identificação de vulnerabilidades na arquitetura — Avaliações de segurança podem identificar vulnerabilidades na arquitetura

Observe que a Oracle recomenda fortemente que os clientes usem apenas versões de produtos compatíveis e que os clientes apliquem correções críticas de atualização de patches o mais rápido possível nas versões que estão usando. Essa ação é necessária porque a Oracle não fornece correções para versões de produtos sem suporte. No entanto, é muito provável que sejam vulneráveis a vulnerabilidades corrigidas por patches de CPU e, muitas vezes, os agentes mal-intencionados fazem engenharia reversa nas correções de CPU, adaptam-as e tentam explorar esses problemas logo após a publicação de cada versão de CPU.

Observação importante: lembre-se de que a Oracle recomenda que a Atualização Crítica de Patches seja o meio principal para os clientes aplicarem correções de segurança em todos os produtos afetados, pois as Atualizações Críticas de Patches são lançadas com mais frequência do que conjuntos de patches ou novas versões de produtos.


Documentação de Atualização Crítica de Patches

Cada Atualização Crítica de Patches possui uma recomendação na parte superior do documento. Essa recomendação lista os produtos afetados e contém uma matriz de risco para cada pacote de produtos.


Matrizes de Risco

As matrizes de risco fornecem informações que ajudam os clientes a avaliarem o risco apresentado pelas vulnerabilidades de segurança em seu ambiente específico. Elas podem ser usadas para identificar os sistemas com maior risco para que possam ser corrigidos primeiro. Cada nova vulnerabilidade de segurança corrigida na Atualização Crítica de Patches é listada em uma linha da matriz de risco com o produto afetado.


CVSS (Common Vulnerability Scoring System, Sistema de pontuação de vulnerabilidades comuns)

Em outubro de 2006, a Oracle passou do método proprietário de indicar a severidade relativa de vulnerabilidades de segurança em matrizes de risco para o CVSS (Common Vulnerability Scoring System, Sistema de pontuação de vulnerabilidades comuns). O site FIRST descreve o CVSS como um sistema de classificação “criado para oferecer classificações de severidade abertas e universais de vulnerabilidades de software.“ O CVSS é um método padronizado para avaliar a severidade de vulnerabilidades de segurança. Para cada vulnerabilidade recentemente corrigida na Atualização Crítica de Patches, a Oracle fornece valores de métricas do CVSS, indicando as condições exigidas para explorar a vulnerabilidade e o impacto de um ataque bem sucedido em termos de CIA (Confidentiality, Integrity and Availability, Confidencialidade, integridade e disponibilidade) no sistema específico. O CVSS utiliza uma fórmula que transforma essas informações em uma Pontuação Básica entre 0.0 e 10.0, em que 10.0 representa a vulnerabilidade mais severa. As matrizes de risco são ordenadas usando a Pontuação Básica CVSS, com a vulnerabilidade mais severa no topo. A versão 3.0 do CVSS padrão foi adotada pela Oracle em abril de 2016 e está sendo utilizada atualmente. Uso do CVSS (Common Vulnerability Scoring System) pela Oracle fornece uma explicação detalhada sobre como as classificações do CVSS são aplicadas nas recomendações de risco da Oracle.


CVE (Common Vulnerabilities and Exposures, Exposições e vulnerabilidades comuns)

Os números de CVE (Common Vulnerabilities and Exposures, Exposições e vulnerabilidades comuns) são usados pela Oracle para identificar as vulnerabilidades listadas nas matrizes de risco em recomendações de Atualização Crítica de Patches e Alertas de Segurança. Os números de CVE são exclusivos, identificadores comuns para informações publicamente conhecidas sobre vulnerabilidades de segurança. O programa CVE é patrocinado pelo Office of Cybersecurity and Communications do U.S. Department of Homeland Security e gerenciado pela MITRE Corporation. A Oracle é uma CNA (CVE Numbering Authority, Autoridade em numeração de CVE), isso significa que a empresa pode emitir números de CVE para vulnerabilidades em seus produtos. Observe que o pedido de números CVE em recomendações de segurança da Oracle não necessariamente correspondem às datas das descobertas das vulnerabilidades a que se referem. Em outras palavras, os números de CVE não são atribuídos pela ordem das datas de descobertas das vulnerabilidades cujas correções serão fornecidas nessas distribuições. Isso é porque CNAs (CVE Numbering Authorities, Autoridades em numeração de CVE) como a Oracle obtêm, periodicamente, conjuntos de números de CVE da MITRE, portanto não é preciso emitir uma solicitação separada de uma nova CVE sempre que uma vulnerabilidade for encontrada. Os números de CVE são atribuídos às vulnerabilidades em sequência pela Oracle a partir do conjunto de números de CVE atribuídos pela organização de CVE, em torno de 3 a 4 semanas antes da distribuição programada da correção pelo programa de Atualização Crítica de Patches.


Resumo Executivo

Para ajudar as organizações a avaliarem com rapidez a importância de problemas severos de segurança corrigidos na Atualização Crítica de Patches, a Oracle fornece um resumo executivo com uma sinopse de alto nível sobre os defeitos de segurança de cada produto apresentados na Atualização Crítica de Patches. Esse resumo executivo fornece uma explicação em inglês sobre as vulnerabilidades apresentadas na Atualização Crítica de Patches.


Anúncio de Pré-Lançamento de Atualização Crítica de Patches

A Oracle publica um resumo da Documentação de Atualização Crítica de Patches na quinta-feira anterior a cada data de lançamento da Atualização Crítica de Patches. Esse resumo, chamado Anúncio de Pré-Lançamento da Atualização Crítica de Patches, oferece informações avançadas sobre a próxima Atualização Crítica de Patches, incluindo:

  • Nome e números da versão dos produtos Oracle afetados pelas novas vulnerabilidades corrigidas na Atualização Crítica de Patches
  • Número de correções de segurança de cada pacote de produtos
  • Pontuação básica mais alta do CVSS de cada pacote de produtos
  • E qualquer informação em potencial que possa ser relevante para ajudar as organizações a fazerem planejamentos para o aplicativo da Atualização Crítica de Patches em seu ambiente

Apesar de a Oracle garantir que cada Anúncio de Pré-Lançamento seja o mais exato possível no momento de sua publicação, o conteúdo real de cada Atualização Crítica de Patches pode mudar depois da publicação do seu Anúncio de Pré-Lançamento. Portanto, a Recomendação da Atualização Crítica de Patches deve ser considerada a única descrição exata do conteúdo real da Atualização Crítica de Patches.