Programma di aggiornamento di patch critiche

Lo strumento principale per il backporting di tutte le correzioni delle vulnerabilità della sicurezza nei prodotti Oracle è il programma trimestrale di aggiornamento di patch critiche (CPU, Critical Patch Update). Le date di release degli aggiornamenti di patch critiche vengono annunciate con un anno di anticipo e pubblicate sulla pagina relativa ad aggiornamenti di patch critiche e avvisi di sicurezza. Le patch affrontano vulnerabilità della sicurezza significative e includono inoltre correzioni del codice indispensabili per le correzioni della sicurezza.

Gli aggiornamenti della sicurezza per tutti i prodotti che ricevono gli aggiornamenti di patch critiche sono disponibili per i clienti attivi di Oracle Support su My Oracle Support. Segui i link sottostanti per scoprire di più sulle politiche di correzione della sicurezza Oracle.

Programma di avvisi di sicurezza

Gli avvisi di sicurezza sono un meccanismo di release per un'unica correzione o un numero ridotto di correzioni delle vulnerabilità. Fino ad agosto 2004, gli avvisi di sicurezza venivano utilizzati come principale veicolo di release delle correzioni della sicurezza. A gennaio 2005, Oracle ha iniziato a rilasciare correzioni secondo una pianificazione fissa, utilizzando gli aggiornamenti di patch critiche.

Oracle potrebbe inviare un avviso di sicurezza nel caso in cui si presenti una minaccia particolare o pericolosa per i clienti. In questo caso, i clienti ricevono la notifica dell'avviso di sicurezza attraverso un'e-mail di notifica tramite My Oracle Support e Oracle Technology Network. La correzione inclusa nell'avviso di sicurezza verrà inclusa anche nell'aggiornamento di patch critiche successivo.


Patch cumulative o una tantum

Per quanto possibile, Oracle cerca di fornire aggiornamenti di patch critiche cumulativi; ciò significa che ciascun aggiornamento di patch critiche contiene le correzioni della sicurezza di tutti i precedenti aggiornamenti di patch critiche. In pratica, quando si utilizzano esclusivamente prodotti che ricevono correzioni cumulative, l'aggiornamento di patch critiche più recente è l'unico che deve essere applicato, poiché contiene tutte le correzioni necessarie.

Le correzioni per altri prodotti che non ricevono correzioni cumulative vengono rilasciate come patch una tantum. Per questi prodotti, è necessario fare riferimento ai promemoria dei precedenti aggiornamenti di patch critiche per trovare tutte le patch che potrebbero dover essere applicate.


Annuncio delle correzioni della sicurezza

La politica di Oracle prevede l'annuncio delle correzioni della sicurezza solo, per quanto possibile, quando le correzioni sono disponibili per tutte le combinazioni di piattaforme e versioni dei prodotti interessati e supportati. Tuttavia, esistono due eccezioni a questa politica:

  1. 1. Programma su richiesta: Oracle non produce sistematicamente patch per determinate combinazioni di piattaforme e versioni di prodotti che in passato hanno registrato basse percentuali di download da parte dei clienti. La produzione di tali patch deve essere richiesta dai clienti. I dettagli del programma su richiesta e del processo per richiedere tali patch per aggiornamenti recenti o futuri sono riportati nel documento sulla disponibilità delle patch allegato a ciascuna release di aggiornamenti di patch critiche.
  2. 2. Leggeri ritardi, fino a due settimane dalla data di annuncio, nella disponibilità delle patch generalmente dovuti a problemi tecnici durante la produzione o il test delle patch.

In alcune circostanze gli aggiornamenti di patch critiche per particolari combinazioni di piattaforme o versioni di prodotti potrebbero essere correzioni di vulnerabilità annunciate o non annunciate. Una correzione delle vulnerabilità non annunciata può essere inclusa in una determinata patch dell'aggiornamento di patch critiche quando alcune parti, ma non tutte, della vulnerabilità vengono corrette o perché la correzione è disponibile su alcune combinazioni, ma non su tutte, di piattaforme o versioni di un determinato prodotto.


Correzioni della sicurezza e set di patch

Le correzioni della sicurezza sono inoltre incluse nei set di patch (o equivalente) e nelle release di nuovi prodotti. La politica di Oracle prevede l'inclusione di tutte le correzioni della sicurezza di un aggiornamento di patch critiche nei successivi set di patch e release dei prodotti. Se questo non fosse possibile a causa delle tempistiche di una release, Oracle crea una patch contenente le correzioni dell'aggiornamento di patch critiche più recente che possono essere applicate in aggiunta al set di patch appena rilasciato o alla release del prodotto.


Ordine di correzione delle vulnerabilità della sicurezza

Per fornire il migliore livello di sicurezza a tutti i suoi clienti, Oracle corregge le vulnerabilità della sicurezza significative in base al rischio prospettato ai clienti. Di conseguenza, i problemi che prevedono rischi maggiori vengono sempre risolti per primi. Le correzioni delle vulnerabilità della sicurezza vengono realizzate nell'ordine seguente:

  • In primo luogo, riga del codice principale, ovvero la linea di codice sviluppata per la successiva release principale del prodotto.
  • Per ogni versione supportata vulnerabile:
    • In primo luogo, riga del codice principale, ovvero la linea di codice sviluppata per la successiva release principale del prodotto.
    • Costi di amministrazione ridotti—La pianificazione di aggiornamenti di patch critiche fissi elimina le incertezze nella gestione delle patch. La pianificazione è inoltre concepita per evitare le tipiche date di black-out durante le quali i clienti generalmente non possono modificare gli ambienti di produzione.
    • Gestione delle patch semplificata—Gli aggiornamenti delle patch sono cumulativi per molti prodotti Oracle. Questo offre ai clienti la possibilità di mettersi subito al passo con l'attuale livello delle release di sicurezza, poiché l'applicazione del più recente aggiornamento di patch critiche cumulativo risolve tutte le vulnerabilità affrontate in precedenza.
    • Individuazione delle vulnerabilità dell'architettura—Le valutazioni della sicurezza possono portare all'individuazione di vulnerabilità nell'architettura.

Oracle raccomanda fortemente ai clienti di utilizzare soltanto le versioni supportate dei prodotti e di applicare subito le correzioni di aggiornamento delle patch critiche alle release in uso. Questo perché Oracle non fornisce correzioni per le versioni di prodotto non coperte dal supporto. Tuttavia, tali versioni potrebbero essere molto esposte alle vulnerabilità corrette dalle patch CPU e agenti malintenzionati spesso rovesciano le correzioni CPU operate dai tecnici, le utilizzano come armi e provano a sfruttare in modo dannoso questi problemi subito dopo la pubblicazione di ogni release CPU.

Nota importante: Oracle consiglia ai clienti di utilizzare gli aggiornamenti di patch critiche come metodo principale per stare al passo con le correzioni della sicurezza di tutti i prodotti interessati, poiché tali aggiornamenti vengono rilasciati più frequentemente rispetto ai set di patch o alle nuove release dei prodotti.


Documentazione sugli aggiornamenti di patch critiche

Ciascun aggiornamento di patch critiche presenta un promemoria come documento principale. Il promemoria elenca i prodotti interessati e contiene una matrice di rischio per ciascuna suite di prodotti.


Matrici di rischio

Le matrici di rischio forniscono informazioni che aiutano i clienti a valutare il rischio posto dalle vulnerabilità della sicurezza nel loro ambiente specifico. Possono essere utilizzate per individuare i sistemi più a rischio in modo da applicare le patch innanzitutto su tali sistemi. Ogni nuova vulnerabilità della sicurezza corretta in un aggiornamento di patch critiche viene elencata in una riga della matrice di rischio in relazione al prodotto interessato.


Common Vulnerability Scoring System (CVSS)

A ottobre 2006, Oracle è passata da un metodo proprietario per indicare la gravità delle vulnerabilità della sicurezza nelle matrici di rischio al Common Vulnerability Scoring System (CVSS). Il sito Web di FIRST descrive il CVSS come sistema di classificazione “concepito per fornire classificazioni della gravità aperte e standard a livello universale delle vulnerabilità dei software.“ CVSS è un metodo standardizzato per la valutazione della gravità delle vulnerabilità della sicurezza. Per ciascuna vulnerabilità appena corretta nell'aggiornamento di patch critiche, Oracle fornisce valori per le metriche CVSS che indicano le condizioni necessarie per l'exploit delle vulnerabilità e la facilità di exploit, come anche l'impatto di un attacco riuscito su riservatezza, integrità e disponibilità (CIA - Confidentiality, Integrity and Availability) di un sistema attaccato. Il CVSS utilizza una formula per trasformare queste informazioni in un punteggio base che va da 0,0 a 10,0, dove 10,0 rappresenta la vulnerabilità più grave. Le matrici di rischio vengono ordinate secondo il punteggio base CVSS in ordine decrescente partendo dalla vulnerabilità più grave. La versione 3.0 dello standard CVSS è stata adottata da Oracle ad aprile 2016 ed è la versione attualmente in uso. La sezione relativa all'utilizzo del Common Vulnerability Scoring System (CVSS) da parte di Oracle fornisce una spiegazione dettagliata di come vengono applicate le classificazioni CVSS nei promemoria di rischio di Oracle.


Common Vulnerabilities and Exposures (CVE)

I valori di Common Vulnerabilities and Exposures (CVE) vengono utilizzati da Oracle per individuare le vulnerabilità elencate nelle matrici di rischio nei promemoria degli aggiornamenti di patch critiche e degli avvisi di sicurezza. I valori CVE sono identificatori univoci comuni per le informazioni pubblicamente note sulle vulnerabilità della sicurezza. Il programma CVE è sponsorizzato congiuntamente dall'ufficio Cybersecurity and Communications del Department of Homeland Security degli Stati Uniti ed è gestito dall'organizzazione MITRE. Oracle è una CVE Numbering Authority (CNA) e ciò significa che l'azienda può emettere valori CVE per le vulnerabilità dei suoi prodotti. L'ordine dei valori CVE nei promemoria sulla sicurezza di Oracle non corrisponde necessariamente alle date di rilevamento delle vulnerabilità a cui si riferiscono. In altre parole, i valori CVE non vengono assegnati secondo l'ordine delle date di rilevamento delle vulnerabilità le cui correzioni verranno fornite in quei promemoria. Questo perché le CVE Numbering Authority (CNA) come Oracle ricevono periodicamente set di valori CVE da MITRE per evitare la necessità di richiedere un nuovo CVE ogni volta che viene rilevata una vulnerabilità. I valori CVE vengono assegnati alle vulnerabilità in modo sequenziale da Oracle a partire dall'insieme di valori CVE assegnato dall'organizzazione CVE circa 3 o 4 settimane prima della distribuzione pianificata della correzione attraverso il programma di aggiornamento di patch critiche.


Executive summary

Per aiutare le organizzazioni a valutare rapidamente l'importanza dei potenziali problemi di sicurezza corretti nell'aggiornamento di patch critiche, Oracle fornisce un executive summary con una sinossi generale dei difetti di sicurezza in ciascun prodotto affrontati dall'aggiornamento di patch critiche. L'executive summary fornisce, in un linguaggio semplice, la spiegazione delle vulnerabilità affrontate nell'aggiornamento di patch critiche.


Annuncio pre-release degli aggiornamenti di patch critiche

Oracle pubblica una sintesi della documentazione degli aggiornamenti di patch critiche il giovedì precedente alla data di release di ciascun aggiornamento. La sintesi, nota come Annuncio pre-release degli aggiornamenti di patch critiche, fornisce informazioni dettagliate sull'imminente aggiornamento, tra cui:

  • Nome e numeri di versione dei prodotti Oracle interessati dalle nuove vulnerabilità corrette nell'aggiornamento di patch critiche
  • Numero di correzioni della sicurezza per ciascuna suite di prodotti
  • Punteggio base CVSS più alto per ciascuna suite di prodotti
  • Qualsiasi informazione potenzialmente rilevante per aiutare le organizzazioni a pianificare l'applicazione dell'aggiornamento di patch critiche nel loro ambiente

Sebbene Oracle garantisca che ogni annuncio pre-release sia il più accurato possibile al momento della pubblicazione, i contenuti effettivi di ogni aggiornamento di patch critiche potrebbero variare dopo la pubblicazione del rispettivo annuncio pre-release. Il promemoria dell'aggiornamento di patch critiche dovrebbe pertanto essere considerato come l'unica descrizione accurata dei contenuti effettivi dell'aggiornamento.