重要补丁更新计划

Oracle 产品安全漏洞修复的主要机制是重要补丁更新 (CPU) 计划。 重要补丁更新会按重要补丁更新和安全警报页面上提前公布的当年发布日期进行发布。 这些补丁可解决重大安全漏洞问题,补丁中包含安全修复所必不可少的代码修复。

My Oracle Support 上的有效 Oracle 支持客户可使用所有接收 CPU 的产品的安全更新。 点击以下链接详细了解 Oracle 安全修复政策。

安全预警计划

安全警报是针对一个或少数几个漏洞修复的发布机制。 安全警报始于 2004 年 8 月,当时是作为安全修复的主要发布手段。 2005 年 1 月,Oracle 开始使用重要补丁更新按固定时间表发布修复程序。

Oracle 会针对客户面临的某个独特或危险的威胁发布安全警报。 届时,会通过 My Oracle SupportOracle 技术网向客户发送安全电子邮件通知。 安全警报中包含的修复程序也将包含在随后的重要补丁更新中。

积累式补丁和一次性补丁

Oracle 会尽可能多地累积重要补丁更新;也就是说,每一次重要补丁更新都将包含之前所有重要补丁更新中的安全修复程序。 实际上,对于进行积累式修补的产品而言,如果只使用这些产品,那么只需应用新的重要修补更新即可,因为它包含了所有必要修复。

对于不接收积累修复的产品,它们的修复则发布为一次性补丁。 这些产品需要参考上一次重要补丁更新建议才能了解可能需要安装哪些补丁。

安全修复公告

Oracle 的政策是,只有当修复程序适用于所有受影响和受支持的产品版本和平台组合时才会尽可能发布安全修复程序。 不过,该政策有两种例外情况:

1. 应求项目: Oracle 不会系统性地为客户极少下载补丁的具体产品版本和平台组合生成补丁。 此类补丁必须应客户要求生成。 各重要补丁更新发布随带的补丁程序可用性文档中详细说明了此应求项目以及为近期或未来的 CPU 请求此补丁的流程。

2. 由于补丁生成或测试期间的技术问题,补丁提供会稍有延迟,一般在公告日期后的至多两周。

请注意,在某些环境下,特殊版本平台产品组合的重要补丁更新可能同时包含已公告和未公告的漏洞修复。 当漏洞的某些(并非全部)部分得到修复,或者由于在指定产品的某些(并非全部)版本平台组合上已经提供了修复,那么未公告的漏洞修复可能已经包含在指定的重要补丁更新中。

安全修复和补丁包

安全修复也会在补丁包(或同等程序包)和新产品版本中提供。 甲骨文公司的政策是在后续补丁包和产品版本的重要补丁更新中纳入所有安全修复。 如果由于版本时限原因而无法实现,Oracle 会创建包含有新的重要补丁更新修复(可应用于新发布的补丁包或产品版本)的补丁。

安全漏洞的修复顺序

为了给所有客户提供理想的安全状况,Oracle 根据可能对客户产生的风险水平来修复重大安全漏洞。 因此,风险水平最高的问题会优先得到修复。 安全漏洞修复按下列顺序进行:

  • 主要代码行优先 — 这些代码行是为产品的下一个主要版本开发的
  • 对于每一个存在漏洞的受支持版本:
    • 如果已计划为该受支持版本提供另一个补丁集,则会修复下一个补丁集
    • 创建重要补丁更新补丁

请注意,Oracle 强烈建议客户仅使用受支持的产品版本,并且客户应对其使用的版本立即应用重要补丁更新修复程序。 这是因为 Oracle 不为不支持的产品版本提供修复程序。 但是,它们很可能会受到经过 CPU 补丁程序修复的漏洞的攻击,恶意攻击者经常会对 CPU 修复程序进行逆向工程、加以增强并在每次 CPU 发布后不久尝试恶意利用这些问题。

重要说明: 注意,Oracle 建议客户将重要补丁更新作为所有受影响产品紧跟安全修复的主要手段,因为重要补丁更新的发布频率要高于补丁包和新产品发布的频率。

重要补丁更新文档

每个重要补丁更新均以通告作为头号文档。 该通告会提供受影响的产品清单,并包含每个产品套件的风险表。

风险表

风险表中提供的信息可帮助客户评估在其特定环境下安全漏洞所带来的风险。 可以利用这些风险表来识别风险程度较高的系统,以便先修补它们。 重要补丁更新中修复的每个新安全漏洞均会列在风险表的受影响产品中。

通用漏洞评分系统 (CVSS)

2006 年 10 月,Oracle 改变了在风险表中标识安全漏洞相对严重性的专有方法,开始采用通用漏洞评分系统 (CVSS)。 FIRST 网站对 CVSS 的描述是“旨在为软件漏洞提供基于开放和公认标准的严重性等级”的评级系统。 CVSS 是评估安全漏洞严重性的一种标准化方法。 对于严重补丁更新中新修复的每个漏洞,Oracle 都会提供 CVSS 指标值,标识利用该漏洞所需的前提条件以及利用的难易程度;以及成功攻击在机密性、完整性和可用性 (CIA) 等方面对目标系统造成的影响。 CVSS 通过一个公式将这些信息转换为基础分值 (0.0~10.0),漏洞的分值越高,代表其严重程度也越高。 风险表按 CVSS 基础分值排列,严重性高的漏洞列在上面。 Oracle 自 2016 年 4 月起采用 CVSS V3.0 标准,目前仍在使用该标准。 Oracle 发布的通用漏洞评分系统 (CVSS) 使用手册详细说明了 CVSS 评级在 Oracle 风险公告中的应用。

通用漏洞披露 (CVE)

Oracle 使用通用漏洞披露 (CVE) 编号来识别重要补丁更新及安全警报公告风险矩阵上列出的漏洞。 CVE 编号是关于安全漏洞公开信息的唯一、通用的标识符。 CVE 计划由美国国土安全部的网络安全和通信部门联合发起,由 MITRE 公司管理。 Oracle 是 CVE 编号授权机构 (CNA),也就是说可以为自己产品中的漏洞发布 CVE 编号。 注意,Oracle 安全公告中 CVE 编号的排序不一定与发现其相关漏洞的日期相对应。 换句话说,CVE 编号并不是按漏洞(发布的这些漏洞会提供修复)发现日期的顺序指定的。 这是因为,Oracle 等 CVE 编号授权机构 (CNA) 定期从 MITRE 获得一批 CVE 编号,这样不必在每次发现漏洞时单独申请新 CVE 编号。 通过重要补丁更新计划发布修复时,Oracle 将在预定发布前的 3-4 周按顺序从 CVE 组织指定的 CVE 编号池中给漏洞分配 CVE 编号。

执行概要

为了帮助组织快速评估重要补丁更新中修复的潜在安全问题的重要性,Oracle 在执行概要中对重要补丁更新中解决的各产品安全问题提供了高级介绍。 此执行概要用英文简要说明了重要补丁更新中解决的漏洞。

重要补丁更新发布前公告

在每个重要补丁更新的发布日之前的周四,Oracle 会发布重要补丁更新文档的一份摘要。 这份摘要称为重要补丁更新发布前公告,它预先提供了关于即将发布的重要补丁更新的一些信息:

  • 重要补丁更新中修复的新漏洞所影响的 Oracle 产品的名称和版本号
  • 各产品套件的安全修复数
  • 各产品套件的最高 CVSS 基础分值
  • 此外,还可能包括有助于组织在其环境中规划应用关键补丁更新的其他相关信息

尽管 Oracle 确保每个发布前公告在发布时都尽可能准确,不过在发出发布前公告之后各重要补丁更新的实际内容可能会有所变化。 因此应将重要补丁更新通告视为对重要补丁更新实际内容的唯一准确的描述。