Software Security Assurance

Oracle Software
Security Assurance

Beleid voor beveiligingsreparaties

Het voornaamste mechanisme voor de backport van reparaties voor zwakke plekken in de beveiliging van Oracle-producten is het CPU-programma dat eens per kwartaal uitkomt (CPU staat voor Critical Patch Update, update voor cruciale patches). De uitgave van deze updates wordt een jaar van tevoren aangekondigd en gepubliceerd op de pagina Critical Patch Updates and Security Alerts. De patches bieden een oplossing voor belangrijke zwakke plekken in de beveiliging en omvatten tevens programmatuurreparaties die vereist zijn om de beveiligingsreparaties te kunnen uitvoeren.

De beveiligingsupdates voor alle producten die CPU´s ontvangen zijn voor actieve Oracle Support-klanten beschikbaar op de website My Oracle Support. Volg de onderstaande links voor meer informatie over het beleid van Oracle voor beveiligingsreparaties:


Veiligheidswaarschuwingen

Veiligheidswaarschuwingen zijn een uitgavesysteem voor één reparatie van een zwakke plek of voor een klein aantal reparaties. Veiligheidswaarschuwingen werden tot augustus 2004 gebruikt als de voornaamste manier om beveiligingsreparaties uit te brengen. In januari 2005 is Oracle begonnen met het uitbrengen van reparaties volgens een vast schema in het CPU-programma.

Oracle kan nog wel een veiligheidswaarschuwing afgeven bij een unieke of gevaarlijke bedreiging voor onze klanten. In dat geval worden klanten van de veiligheidswaarschuwing op de hoogte gebracht met een e-mailmelding via My Oracle Support en Oracle Technology Network. De reparatie die de veiligheidswaarschuwing bevat, wordt ook opgenomen in de volgende update voor cruciale patches.

Cumulatieve versus eenmalige patches

Oracle probeert updates voor cruciale patches zoveel mogelijk cumulatief te maken; dat wil zeggen dat elke update de beveiligingsreparaties bevat uit alle vorige updates. Dat betekent in de praktijk dat voor die producten die cumulatieve reparaties krijgen, de laatste update de enige update is die moet worden toegepast wanneer uitsluitend deze producten worden gebruikt, aangezien deze update alle vereiste reparaties bevat.

Reparaties voor de andere producten die geen cumulatieve reparaties krijgen, worden als eenmalige patches uitgebracht. Deze producten moeten verwijzen naar eerdere kennisgevingen van updates voor cruciale patches, anders kunnen niet alle patches worden gevonden die moeten worden toegepast.

Aankondiging van beveiligingsreparaties

Volgens het beleid van Oracle worden beveiligingsreparaties voor zover mogelijk alleen aangekondigd wanneer de reparaties beschikbaar zijn voor alle betreffende en ondersteunde productversie- en platformcombinaties. Er zijn echter twee uitzonderingen op dit beleid:

1. 'Op aanvraag'-programma: Oracle produceert niet systematische patches voor bepaalde productversie- en platformcombinaties waarvoor uit het verleden is gebleken dat de patches weinig door klanten worden gedownload. De productie van dergelijke patches gebeurt op aanvraag van klanten. Het 'Op aanvraag'-programma en het proces voor het aanvragen van dergelijke patches voor recente of toekomstige CPU´s worden uitgebreid beschreven in het patchbeschikbaarheidsdocument dat wordt bijgevoegd bij elke uitgave van een update van een cruciale patch.

2. Kleine vertragingen in de beschikbaarheid van patches tot maximaal twee weken vanaf de datum van aankondiging zijn doorgaans te wijten aan technische kwesties tijdens de productie of het testen van de patch.

Updates voor cruciale patches voor bepaalde versie-platformproductcombinaties kunnen onder bepaalde omstandigheden bestaan uit aangekondigde en onaangekondigde reparaties van zwakke plekken in de beveiliging. Een onaangekondigde reparatie kan worden opgenomen in een bepaalde update voor cruciale patches wanneer sommige, maar niet alle, delen van de zwakke plek in de beveiliging zijn gerepareerd of omdat de reparatie beschikbaar is op sommige, maar niet alle, versie-platformcombinaties van een bepaald product.

Beveiligingsreparaties en patchsets

Beveiligingsreparaties worden ook opgenomen in patchsets (of een equivalent) en in nieuwe productreleases. Oracle hanteert als beleid dat alle beveiligingsreparaties in een CPU worden opgenomen in alle volgende patchsets en productreleases. Als dat vanwege het geplande moment van een uitgave niet mogelijk is, maakt Oracle een patch met de meest recente reparaties uit de updates voor cruciale patches die kunnen worden toegepast naast de onlangs uitgegeven patchset of productrelease.

Volgorde van reparatie van zwakke plekken in de beveiliging

Om alle Oracle-klanten de beste beveiliging te kunnen bieden, repareert Oracle belangrijke zwakke plekken in de beveiliging op basis van het mogelijke risico dat deze voor klanten vormen. Zo worden de problemen met de ernstigste risico´s altijd het eerst opgelost. Reparaties voor zwakke plekken in de beveiliging worden in deze volgorde geproduceerd:

  • Belangrijkste programmaregel eerst — d.w.z. de programmaregel die wordt ontwikkeld voor de eerstvolgende grote release van het product
  • Voor elke ondersteunde versie die kwetsbaar is:
    • Reparatie in de volgende patchset als er een andere patchset voor die ondersteunde versie gepland staat
    • Updatepatch voor cruciale patches maken

Oracle raadt klanten ten STERKSTE aan alleen ondersteunde productversies te gebruiken en reparaties voor cruciale patchupdates onmiddellijk toe te passen voor hun releases. Oracle verstrekt namelijk geen reparaties voor productversies die niet meer worden ondersteund. Er is een grote kans dat deze gevoelig zijn voor kwetsbaarheden die zijn gerepareerd door CPU-patches. Kwaadwillende personen kunnen CPU-reparaties via ´reverse engineering´ wapenen en deze proberen kort na de publicatie van een CPU-release te misbruiken.

Belangrijke opmerking: Oracle beveelt wel de update voor cruciale patches aan als de voornaamste manier waarop klanten hun beveiligingsreparaties up-to-date kunnen houden voor alle betreffende producten, aangezien updates voor cruciale patches frequenter worden uitgegeven dan patchsets of nieuwe productreleases.

Documentatie omtrent de updates voor cruciale patches

Elke update voor cruciale patches bevat een kennisgevingsdocument op het hoogste niveau. In deze kennisgeving staan de producten waarop de update betrekking heeft en bevat tevens voor elke productsuite een risicomatrix.

Risicomatrixen

De risicomatrixen verschaffen informatie aan de hand waarvan klanten kunnen inschatten welke risico´s zijn verbonden aan de zwakke plekken in de beveiliging van hun specifieke omgeving. Ze kunnen worden gebruikt om te zien welke systemen het meeste risico lopen, zodat deze het eerste van een patch kunnen worden voorzien. Elke nieuwe zwakke plek in de beveiliging die met een update voor cruciale patches wordt gerepareerd, staat vermeld in een rij in de risicomatrix voor het product waarop deze patch betrekking heeft.

Common Vulnerability Scoring System (CVSS)

In oktober 2006 is Oracle van een eigen methode voor het vaststellen van de relatieve ernst van zwakke plekken in de beveiliging in risicomatrixen overgestapt op het Common Vulnerability Scoring System (CVSS). Op de website van FIRST wordt CVSS omschreven als een beoordelingssysteem "dat is ontworpen om een open en universele, gestandaardiseerde beoordeling te geven van de ernst van zwakke plekken in de software". CVSS is een gestandaardiseerde methode voor het inschatten van de ernst van zwakke plekken in de beveiliging. Voor elke zwakke plek die recentelijk via het CPU-programma is gerepareerd, biedt Oracle waarden voor CVSS-cijfers waarmee wordt aangegeven wat de vereiste voorwaarden zijn om gebruik te maken van de zwakke plek en hoe gemakkelijk hiervan gebruik kan worden gemaakt; plus de impact van een geslaagde aanval in termen van vertrouwelijkheid, integriteit en beschikbaarheid (CIA: Confidentiality, Integrity, Availability) voor het systeem dat het doelwit is van zo´n aanval. CVSS hanteert een formule om deze informatie om te zetten in een basisscore tussen 0,0 en 10,0, waarbij 10,0 staat voor de zwakste plek. De risicomatrixen worden aan de hand van de CVSS-basisscore geordend met de grootste zwakke plek bovenaan. Versie 3.0 van de CVSS-norm is in april 2016 door Oracle in gebruik genomen. In Use of Common Vulnerability Scoring System (CVSS) by Oracle vindt u een uitgebreide uitleg van de manier waarop de CVSS-scores worden toegepast in de risicokennisgevingen van Oracle.

Common Vulnerabilities and Exposures (CVE)

CVE-nummers (Common Vulnerabilities and Exposures, algemene kwetsbaarheden en blootstellingen) worden door Oracle gebruikt om de zwakke plekken vast te stellen die in de risicomatrixen staan vermeld in de kennisgevingen van updates voor cruciale patches en veiligheidswaarschuwingen. CVE-nummers zijn unieke, gangbare aanduidingen voor algemeen bekende informatie over zwakke plekken in de beveiliging. Het CVE-programma wordt medegefinancierd door het bureau voor cyberveiligheid en communicatie van het Amerikaanse ministerie van binnenlandse veiligheid en wordt beheerd door MITRE. Oracle is een CVE-nummerautoriteit (CNA), een bedrijf dat CVE-nummers kan uitbrengen voor zwakke plekken in zijn producten. De volgorde van de CVE-nummers in de beveiligingskennisgevingen van Oracle komt niet noodzakelijkerwijs overeen met de datum waarop de zwakke plekken zijn ontdekt waarnaar deze nummers verwijzen. CVE-nummers worden dus niet toegewezen in volgorde van ontdekking van de zwakke plekken waarvoor de reparaties in die uitgaven worden geleverd. De reden daarvoor is dat CVE-nummerautoriteiten (CNA´s) zoals Oracle van tijd tot tijd sets met CVE-nummers van MITRE ontvangen, zodat niet steeds als er een zwakke plek wordt ontdekt een afzonderlijke aanvraag voor een nieuw CVE-nummer hoeft te worden gedaan. CVE-nummers worden ongeveer 3 à 4 weken voor de geplande uitgifte van de reparatie via het CPU-programma door Oracle op volgorde aan zwakke plekken toegewezen vanuit de pool met door de CVE-organisatie toegewezen CVE-nummers.

Beknopte samenvatting

Om organisaties te helpen snel het belang in te schatten van de potentiële veiligheidsrisico´s die met de update voor cruciale patches worden gerepareerd, verschaft Oracle een beknopte samenvatting met een overzicht op niveau van de beveiligingsgebreken in elk product waarop de update voor cruciale patches betrekking heeft. Deze beknopte samenvatting bevat een uitleg (in het Engels) van de zwakke plekken waarop de update voor cruciale patches betrekking heeft.

Vooraankondiging update voor cruciale patches

Oracle publiceert een samenvatting van de documentatie omtrent de update voor cruciale patches op de donderdag voorafgaand aan de uitgiftedatum van een update voor cruciale patches. Deze samenvatting, die een Vooraankondiging update voor cruciale patches wordt genoemd, bevat uitvoerige informatie over de komende update voor cruciale patches, met onder meer:

  • De naam en het versienummer van de Oracle-producten waarop de nieuwe zwakke plekken betrekking hebben die met de update voor cruciale patches worden gerepareerd
  • Aantal beveiligingsreparaties voor elke productsuite
  • Hoogste CVSS-basisscore voor elke productsuite
  • En eventueel alle andere informatie die mogelijk relevant is voor organisaties om de toepassing van de update voor cruciale patches in hun omgeving in te plannen

Hoewel Oracle er zorg voor draagt dat elke vooraankondiging zo accuraat mogelijk is op het moment van publicatie, kan de daadwerkelijke inhoud van elke update voor cruciale patches na de publicatie van de vooraankondiging ervan nog worden gewijzigd. De kennisgeving met updates voor cruciale patches moet daarom worden beschouwd als de enige accurate beschrijving van de feitelijke inhoud ervan.