Program Critical Patch Update

Hlavním mechanismem vydávání oprav bezpečnostních zranitelností v produktech Oracle je čtvrtletní program Critical Patch Update (CPU). Aktualizace Critical Patch Update jsou vydávány ve dnech oznámených rok předem a zveřejněny na stránce Critical Patch Updates and Security Alerts. Tyto aktualizace řeší závažné zranitelnosti a zahrnují také opravy kódu, které jsou zapotřebí pro opravy zabezpečení.

Bezpečnostní aktualizace pro všechny produkty, které dostávají aktualizace CPU, jsou aktivním zákazníkům Oracle Support k dispozici na webových stránkách My Oracle Support. Další informace o zásadách vydávání oprav zabezpečení společnosti Oracle získáte kliknutím na následující odkazy.

Program Security Alert

Opravy Security Alert představují způsob vydávání oprav pro jednu zranitelnost nebo několik málo zranitelností. Do srpna 2004 představovaly opravy Security Alert hlavní způsob vydávání bezpečnostních oprav. V lednu 2005 začala společnost Oracle vydávat opravy podle pevného harmonogramu v rámci programu Critical Patch Updates.

Společnost Oracle může vydat opravu Security Alert v případě ojedinělé nebo nebezpečné hrozby pro zákazníky. V takovém případě budou zákazníci o opravě Security Alert informováni oznámením v e-mailu prostřednictvím služby My Oracle Support a Oracle Technology Network. Oprava, která je součástí opravy Security Alert, bude zároveň zahrnuta v následující aktualizaci Critical Patch Update.


Kumulativní a jednorázové opravy

Společnost Oracle se v maximální možné míře snaží, aby byly aktualizace Critical Patch Update kumulativní. Každá aktualizace Critical Patch Update tedy obsahuje bezpečnostní opravy ze všech předchozích aktualizací tohoto typu. Prakticky to znamená, že pokud používáte pouze produkty, které dostávají kumulativní opravy, stačí použít jen poslední aktualizaci Critical Patch Update, protože obsahuje všechny potřebné opravy.

Opravy k ostatním produktům, které kumulativní opravy nedostávají, jsou vydávány jako jednorázové záplaty. U těchto produktů je nezbytné projít informace o předchozích aktualizacích Critical Patch Update a vyhledat všechny opravy, které je zapotřebí použít.


Oznámení bezpečnostních oprav

Společnost Oracle se řídí zásadou, že bezpečnostní opravy je nutné oznamovat až ve chvíli, kdy jsou dostupné opravy pro všechny zasažené a podporované kombinace verzí produktů a platforem. Z této zásady však existují dvě výjimky:

  1. 1. „Program na vyžádání“: Společnost Oracle neposkytuje systematicky opravy k určitým verzím produktů a kombinacím platforem, které zákazníci v minulosti stahovali v nízkém počtu. Aby byly tyto opravy vytvořeny, musí o to zákazníci požádat. Tento program oprav na vyžádání a postup žádosti o opravy pro stávající nebo budoucí CPU je popsán v dokumentu Patch Availability Document, který je vydáván společně s každou aktualizací Critical Patch Update.
  2. 2. Mírná zpoždění dostupnosti opravy do dvou týdnů od data ohlášení, většinou kvůli technickým problémům při tvorbě nebo testování opravy.

Upozorňujeme, že za určitých okolností může aktualizace Critical Patch Update pro určité kombinace verze produktu a platformy obsahovat opravy oznámených i neoznámených zranitelností. Oprava neoznámené zranitelnosti může být v aktualizaci Critical Patch Update zahrnuta, pokud jsou opraveny jen některé části zranitelnosti nebo pokud je oprava dostupná jen pro některé (ale ne všechny) kombinace verze produktu a platformy.


Bezpečnostní opravy a sady oprav

Bezpečnostní opravy jsou také součástí sad oprav (nebo ekvivalentů) a nových verzí produktů. Zásadou společnosti Oracle je zahrnout všechny bezpečnostní opravy v aktualizaci Critical Patch Update do následných sad oprav a verzí produktů. Pokud to vzhledem k načasování vydání verze není možné, společnost Oracle vytvoří opravu z poslední aktualizace Critical Patch Update, kterou lze použít na nově vydanou sadu oprav nebo verzi produktu.


Pořadí oprav bezpečnostních zranitelností

Společnost Oracle opravuje významné bezpečnostní slabiny v pořadí podle výše rizika, které představují pro zákazníky, aby zajistila všem svým zákazníkům to nejlepší zabezpečení. Problémy, které představují největší riziko, jsou proto vždy opraveny nejdříve. Opravy zranitelností vznikají v následujícím pořadí:

  • Nejprve hlavní linie kódu — Jedná se o linii kódu vyvíjenou pro další hlavní verzi produktu.
  • Pro každou podporovanou verzi, která je ohrožena:
    • Nejprve hlavní linie kódu — Jedná se o linii kódu vyvíjenou pro další hlavní verzi produktu.
    • Nižší náklady na správu — Díky pevně danému harmonogramu aktualizací Critical Patch Update (CPU) lze správu oprav snadno naplánovat. Harmonogram je navíc sestaven tak, aby aktualizace neprobíhaly v době, kdy zákazníci většinou nemohou měnit svá produkční prostředí.
    • Zjednodušená správa oprav — Aktualizace s opravami pro mnoho produktů Oracle jsou kumulativní. Zákazníci se tak mohou rychle dostat na úroveň aktuální verze zabezpečení, protože použitím nejnovější kumulativní aktualizace Critical Patch Update (CPU) opraví všechny dříve vyřešené zranitelnosti.
    • Odhalení zranitelností v architektuře — Hodnocení zabezpečení může odhalit zranitelnosti v architektuře.

Upozorňujeme zákazníky, že společnost Oracle důrazně doporučuje používat pouze podporované verze produktů a bezodkladně instalovat kritické opravy na používaná sestavení. Důvodem je, že společnost Oracle neposkytuje opravy k produktům, kterých se netýká podpora. Jsou však s největší pravděpodobností ohroženy zranitelnostmi, které aktualizace Critical Patch Update řeší, a útočníci navíc často zneužívají opravy Critical Patch Update při zpětném inženýrství a snaží se s jejich pomocí zranitelnosti využít vždy krátce po vydání této aktualizace.

Důležité upozornění: Připomínáme, že společnost Oracle doporučuje jako hlavní způsob použití bezpečnostních oprav pro všechny postižené produkty aktualizace Critical Patch Update, protože jsou vydávány častěji než sady záplat nebo nové verze produktů.


Dokumentace k aktualizacím Critical Patch Update

Každá aktualizace Critical Patch Update má jako hlavní dokument Advisory. Je v něm uveden seznam zasažených produktů a obsahuje matici rizik pro každou sadu produktů.


Matice rizik

Matice rizik poskytují informace, které pomáhají zákazníkům posoudit, jaké riziko zranitelnost představuje pro jejich konkrétní prostředí. Lze s jejich pomocí identifikovat nejohroženější systémy a použít opravy nejprve na ně. Každá nová bezpečnostní zranitelnost opravená v aktualizaci Critical Patch Update je uvedena v řádku matice rizik u produktu, kterého se týká.


Common Vulnerability Scoring System (CVSS)

V říjnu 2006 přešla společnost Oracle z vlastní metodiky pro hodnocení relativní závažnosti bezpečnostních zranitelností v maticích rizik na systém Common Vulnerability Scoring System (CVSS). Na webu FIRST je systém CVSS popsán jako systém hodnocení, „který má poskytovat otevřená a standardní hodnocení závažnosti zranitelností softwaru.“ CVSS je standardizovaná metodika hodnocení závažnosti bezpečnostních zranitelností. Společnost Oracle u každé nově opravené zranitelnosti v aktualizaci Critical Patch Update uvádí hodnoty metrik CVSS, které označují podmínky nutné pro zneužití zranitelnosti. Dále jsou uvedeny informace o tom, jak snadné je útok provést a jaký je dopad úspěšného útoku z hlediska důvěrnosti, integrity a dostupnosti (CIA) cílového systému. CVSS pomocí vzorce převádí tyto údaje na základní skóre mezi 0,0 a 10,0, kde 10,0 představuje nejzávažnější zranitelnost. Matice rizik jsou uspořádány podle základního skóre CVSS, kde nejzávažnější zranitelnosti jsou nahoře. V dubnu 2016 zavedla společnost Oracle verzi 3.0 standardu CVSS, kterou v současnosti používá. Použití systému Common Vulnerability Scoring System (CVSS) společností Oracle podrobně vysvětluje, jak jsou hodnocení CVSS použita v dokumentech Advisory společnosti Oracle o riziku.


Common Vulnerabilities and Exposures (CVE)

Společnost Oracle označuje v dokumentech Advisory k aktualizacím Critical Patch Update a Security Alert zranitelnosti uvedené v maticích rizik čísly Common Vulnerabilities a Exposures (CVE). Čísla CVE jsou jedinečné společné identifikátory k veřejně známým informacím o bezpečnostních zranitelnostech. Na organizaci programu CVE se podílí úřad Cybersecurity and Communications Ministerstva vnitřní bezpečnosti USA a spravuje ho společnost MITRE Společnost Oracle je CVE Numbering Authority (CNA), což znamená, že může vydávat čísla CVE pro zranitelnosti ve svých produktech. Pořadí čísel CVE v bezpečnostních dokumentech Advisory společnosti Oracle nemusí nutně odpovídat datům zjištění příslušných zranitelností. Jinými slovy, čísla CVE nejsou přiřazována podle data zjištění zranitelností, k nimž jsou v příslušných distribucích poskytovány opravy. Důvodem je, že organizace CVE Numbering Authority (CNA), jako je společnost Oracle, dostávají od společnosti MITRE sady čísel CVE průběžně, aby nebylo nutné žádat o nové číslo CVE při každém zjištění zranitelnosti. Společnost Oracle čísla CVE přiřazuje zranitelnostem postupně ze zásoby čísel přidělených organizací CVE zhruba 3 až 4 týdny před plánovanou distribucí opravy prostřednictvím programu Critical Patch Update.


Stručné shrnutí

Aby organizace mohly rychle posoudit závažnost potenciálních bezpečnostních problémů opravených v aktualizaci Critical Patch Update, společnost Oracle poskytuje stručné shrnutí s přehledem bezpečnostních chyb v každém produktu, kterého se aktualizace Critical Patch Update týká. Toto stručné shrnutí „jednoduchou angličtinou“ vysvětluje zranitelnosti vyřešené aktualizací Critical Patch Update.


Oznámení před vydáním aktualizace Critical Patch Update

Společnost Oracle zveřejňuje shrnutí dokumentace k aktualizaci Critical Patch Update ve čtvrtek před datem vydání příslušné aktualizace. Toto shrnutí, které je označováno jako oznámení před vydáním aktualizace Critical Patch Update (Critical Patch Update Pre-Release Announcement), obsahuje podrobné informace o nadcházející aktualizaci:

  • názvy a čísla verze produktů Oracle, kterých se nové zranitelnosti opravené v aktualizaci Critical Patch Update týkají,
  • počet bezpečnostních oprav pro každou sadu produktů,
  • nejvyšší základní skóre CVSS pro každou sadu produktů,
  • případně jakékoli další informace, které mohou pomoci organizacím naplánovat aplikaci aktualizace Critical Patch Update ve svém prostředí.

Společnost Oracle se snaží zajistit, aby oznámení před vydáním aktualizace bylo ve chvíli zveřejnění co nejpřesnější, skutečný obsah aktualizace Critical Patch Update se však může po jeho vydání změnit. Za jediný přesný popis skutečného obsahu aktualizace Critical Patch Update je tedy třeba považovat pouze dokument Critical Patch Update Advisory.