Garantia de Segurança de Software

Oracle Software
Security Assurance

Políticas de Correção de Segurança

O mecanismo principal para backport de correções de vulnerabilidades na segurança de produtos Oracle é o programa de CPU (Critical Patch Updates, Atualizações críticas de patches) trimestral. Atualizações Críticas de Patches são executadas em datas anunciadas com um ano de antecipação e publicadas na página Atualizações Críticas de Patches e Alertas de Segurança. Patches solucionam vulnerabilidades significativas de segurança e também incluem correções de códigos que são pré-requisitos para correções de segurança.

As atualizações de segurança de todos os produtos que recebem CPUs estão disponíveis para clientes ativos do Oracle Support no site My Oracle Support na web. Siga os links abaixo para aprender mais sobre as políticas de Correção de Segurança da Oracle:


Alertas de Segurança

Alertas de Segurança são um mecanismo que executa uma correção de vulnerabilidade ou um pequeno número de correções de vulnerabilidade. Alertas de Segurança foram usados até agosto de 2004 como veículo principal para correções de segurança. Em janeiro de 2005, a Oracle começou a executar correções regularmente, usando Atualizações Críticas de Patches.

A Oracle pode emitir um Alerta de Segurança, caso ocorra uma ameaça única ou perigosa para nossos clientes. Nesse evento, clientes serão notificados sobre o Alerta de Segurança por uma notificação por e-mail do My Oracle Support e da Oracle Technology Network. A correção incluída no Alerta de Segurança também será incluída na próxima Atualização Crítica de Patches.

Patches Únicos versus Cumulativos

Sempre que possível, a Oracle tenta fazer Atualizações Críticas de Patches cumulativas, ou seja, cada Atualização Crítica de Patches contém as correções de segurança de Atualizações Críticas de Patches anteriores. Em termos práticos, para os produtos que recebem correções cumulativas, a Atualização Crítica de Patches mais recente é a única que precisa ser aplicada quando utilizar somente esses produtos, pois ela contém todas as correções necessárias.

Para outros produtos que não recebem correções cumulativas, as correções são executadas como patches únicos. É necessário consultar a Atualização Crítica de Patches anterior para encontrar todos os patches que precisam ser aplicados nesses produtos.

Anúncio de Correções de Segurança

Faz parte da política da Oracle anunciar a maior quantidade possível de correções de segurança somente quando estiverem disponíveis para todas as combinações de plataformas e versões de produto suportadas ou afetadas. Entretanto, há duas exceções para essa política:

1. 'Programa Mediante Solicitação': A Oracle não produz patches sistematicamente para certas combinações de plataformas e versões de produtos com histórico de download de patches baixos executados por clientes. A produção desses patches deve ser solicitada por clientes. O programa 'mediante solicitação' e o processo de solicitar esses patches para CPUs recentes ou futuras está detalhado no Documento de Disponibilidade de Patches que acompanha cada versão de Atualização Crítica de Patches.

2. Atrasos menores de até duas semanas na disponibilização de patches a partir da data do anúncio geralmente são devido a problemas técnicos durante a produção ou testes do patch.

Observe que, em certos casos, as Atualizações Críticas de Patches para combinações de produtos de plataforma de uma versão específica podem consistir em correções de vulnerabilidades anunciadas e não anunciadas. Uma correção anunciada de vulnerabilidade pode estar incluída em um patch de Atualização Crítica de Patches específico quando algumas, mas não todas as partes da vulnerabilidade são corrigidas ou porque a correção está disponível em algumas, mas não todas as versões de combinações de plataformas de um determinado produto.

Conjuntos de Patches e Correções de Segurança

Correções de segurança também estão incluídas em conjuntos de patches (ou equivalentes) e em novas versões do produto. A política da Oracle inclui todas as correções de segurança de uma Atualização Crítica de Patches em conjuntos de patches e versões do produto subsequentes. Se isso não for possível devido ao tempo de uma versão, a Oracle criará um patch contendo as correções de Atualização Crítica de Patches mais recentes que poderão ser aplicadas na versão mais recente do produto ou conjunto de patches.

Pedido de Correção de Vulnerabilidades de Segurança

Para oferecer a melhor segurança para seus clientes, a Oracle segue uma ordem de severidade ao corrigir vulnerabilidades baseadas no risco provável de seus clientes. Consequentemente, os problemas com os riscos mais sérios são corrigidos primeiro. As correções de vulnerabilidades de segurança são produzidas na seguinte ordem:

  • Primeiro, a linha de código principal—é a linha de código desenvolvida para a próxima versão principal do produto.
  • Para cada versão suportada que seja vulnerável:
    • Corrija no próximo conjunto de patches se outro conjunto estiver planejado para essa versão compatível
    • Criação de patch de Atualização Essencial de Patches

Observe que a Oracle recomenda FORTEMENTE que os clientes usem apenas versões de produtos compatíveis e que os clientes apliquem correções críticas de atualização de patch o mais rápido possível nas versões que estão usando. Isso ocorre porque a Oracle não fornece correções para as versões de produtos de Suporte, embora seja muito provável que sejam vulneráveis a vulnerabilidades corrigidas por patches de CPU e atores mal-intencionados, muitas vezes, criam engenharia reversa de reparos de CPU, armas e tentam explorar maldosamente essas questões pouco depois da publicação de cada versão da CPU.

Observação importante: lembre-se de que a Oracle recomenda que a Atualização Crítica de Patches seja o meio principal para os clientes aplicarem correções de segurança em todos os produtos afetados, pois as Atualizações Críticas de Patches são lançadas com mais frequência do que conjuntos de patches ou novas versões de produtos.

Documentação de Atualização Crítica de Patches

Cada Atualização Crítica de Patches possui uma recomendação na parte superior do documento. Essa recomendação lista os produtos afetados e contém uma matriz de risco para cada pacote de produtos.

Matrizes de Risco

As matrizes de risco fornecem informações que ajudam os clientes a avaliarem o risco apresentado pelas vulnerabilidades de segurança em seu ambiente específico. Elas podem ser usadas para identificar os sistemas com maior risco para que possam ser corrigidos primeiro. Cada nova vulnerabilidade de segurança corrigida na Atualização Crítica de Patches é listada em uma linha da matriz de risco com o produto afetado.

CVSS (Common Vulnerability Scoring System, Sistema de pontuação de vulnerabilidades comuns)

Em outubro de 2006, a Oracle passou do método proprietário de indicar a severidade relativa de vulnerabilidades de segurança em matrizes de risco para o CVSS (Common Vulnerability Scoring System, Sistema de pontuação de vulnerabilidades comuns). O site FIRST da web descreve o CVSS como um sistema de classificação "criado para oferecer classificações de severidade abertas e universais de vulnerabilidades de software." O CVSS é um método padronizado para avaliar a severidade de vulnerabilidades de segurança. Para cada vulnerabilidade recentemente corrigida na Atualização Crítica de Patches, a Oracle fornece valores de métricas do CVSS, indicando as condições exigidas para explorar a vulnerabilidade e o impacto de um ataque bem sucedido em termos de CIA (Confidentiality, Integrity and Availability, Confidencialidade, integridade e disponibilidade) no sistema específico. O CVSS utiliza uma fórmula que transforma essas informações em uma Pontuação Básica entre 0.0 e 10.0, em que 10.0 representa a vulnerabilidade mais severa. As matrizes de risco são ordenadas usando a Pontuação Básica CVSS, com a vulnerabilidade mais severa no topo. A versão 3.0 do CVSS padrão foi adotada pela Oracle em abril de 2016 e está sendo utilizada atualmente. Uso do CVSS (Common Vulnerability Scoring System) pela Oracle fornece uma explicação detalhada sobre como as classificações do CVSS são aplicadas nas recomendações de risco.

CVE (Common Vulnerabilities and Exposures, Exposições e vulnerabilidades comuns)

Os números de CVE (Common Vulnerabilities and Exposures, Exposições e vulnerabilidades comuns) são usados pela Oracle para identificar as vulnerabilidades listadas nas matrizes de risco em recomendações de Atualização Crítica de Patches e Alertas de Segurança. Os números de CVE são exclusivos, identificadores comuns para informações publicamente conhecidas sobre vulnerabilidades de segurança. O programa CVE é patrocinado pelo Office of Cybersecurity and Communications do U.S. Department of Homeland Security e gerenciado pela MITRE Corporation. A Oracle é uma CNA (CVE Numbering Authority, Autoridade em numeração de CVE), isso significa que a empresa pode emitir números de CVE para vulnerabilidades em seus produtos. Obseve que o pedido de números CVE em recomendações de segurança da Oracle’não necessariamente correspondem às datas das descobertas das vulnerabilidades a que se referem. Em outras palavras, os números de CVE não são atribuídos pela ordem das datas de descobertas das vulnerabilidades cujas correções serão fornecidas nessas distribuições. Isso é porque CNAs (CVE Numbering Authorities, Autoridades em numeração de CVE) como a Oracle obtêm, periodicamente, conjuntos de números de CVE da MITRE, portanto não é preciso emitir uma solicitação separada de uma nova CVE sempre que uma vulnerabilidade for encontrada. Os números de CVE são atribuídos às vulnerabilidades em sequência pela Oracle a partir do conjunto de números de CVE atribuídos pela organização de CVE, em torno de 3 a 4 semanas antes da distribuição programada da correção pelo programa de Atualização Crítica de Patches.

Resumo Executivo

Para ajudar as organizações a avaliarem com rapidez a importância de problemas severos de segurança corrigidos na Atualização Crítica de Patches, a Oracle fornece um resumo executivo com uma sinopse de alto nível sobre os defeitos de segurança de cada produto apresentados na Atualização Crítica de Patches. Esse resumo executivo fornece uma explicação "em inglês" sobre as vulnerabilidades apresentadas na Atualização Crítica de Patches.

Anúncio de Pré-Lançamento de Atualização Crítica de Patches

A Oracle publica um resumo da Documentação de Atualização Crítica de Patches na quinta-feira anterior a cada data de lançamento da Atualização Crítica de Patches. Esse resumo, chamado Anúncio de Pré-Lançamento da Atualização Crítica de Patches, oferece informações avançadas sobre a próxima Atualização Crítica de Patches, incluindo:

  • Nome e números da versão dos produtos Oracle afetados pelas novas vulnerabilidades corrigidas na Atualização Crítica de Patches
  • Número de correções de segurança de cada pacote de produtos
  • Pontuação básica mais alta do CVSS de cada pacote de produtos
  • E qualquer informação em potencial que possa ser relevante para ajudar as organizações a fazerem planejamentos para o aplicativo da Atualização Crítica de Patches em seu ambiente

Apesar de a Oracle garantir que cada Anúncio de Pré-Lançamento seja o mais exato possível no momento de sua publicação, o conteúdo real de cada Atualização Crítica de Patches pode mudar depois da publicação do seu Anúncio de Pré-Lançamento. Portanto, a Recomendação da Atualização Crítica de Patches deve ser considerada a única descrição exata do conteúdo real da Atualização Crítica de Patches.


Saiba Mais