Aktualizacje Critical Patch Update

Kwartalne aktualizacje Critical Patch Update (CPU) to główny kanał udostępniania poprawek zabezpieczeń do wszystkich produktów Oracle. Aktualizacje te są udostępniane w dniach wybranych z rocznym wyprzedzeniem i opublikowanych w witrynie Critical Patch Updates and Security Alerts. Poprawki usuwają istotne luki w zabezpieczeniach oraz zawierają poprawki kodu niezbędne do usunięcia tych luk.

Aktualizacje Critical Patch Update wszystkich stosownych produktów są dostępne dla aktywnych klientów Oracle Support w witrynie My Oracle Support. Aby dowiedzieć się więcej o zasadach Oracle dotyczących usuwania luk w zabezpieczeniach, należy kliknąć jedno z poniższych łączy:

Aktualizacje Security Alert

Aktualizacje Security Alert służą do usuwania pojedynczych lub niewielkiej liczby luk w zabezpieczeniach. Do sierpnia 2004 r. aktualizacje Security Alert były głównym kanałem udostępniania poprawek zabezpieczeń. Od stycznia 2005 r. Oracle udostępnia poprawki według określonego harmonogramu w ramach aktualizacji Critical Patch Updates.

Oracle może opublikować aktualizacje Security Alert w przypadku szczególnie niebezpiecznych luk lub zagrożeń specyficznych dla poszczególnych klientów. W takim przypadku klient jest informowany o aktualizacji Security Alert w specjalnym powiadomieniu e-mail wysyłanym za pośrednictwem witryny My Oracle Support i portalu Oracle Technology Network. Poprawka zawarta w aktualizacji Security Alert znajdzie się również w następnej aktualizacji Critical Patch Update.


Poprawki jednorazowe i zbiorcze

W miarę możliwości Oracle stara się, aby aktualizacje Critical Patch Update były zbiorcze, czyli aby każda aktualizacja Critical Patch Update zawierała poprawki zabezpieczeń z wszystkich poprzednich aktualizacji Critical Patch Update. Dzięki temu do usunięcia wszystkich wcześniejszych luk wystarczy zainstalować najnowszą aktualizację Critical Patch Update.

Poprawki do innych produktów, które nie otrzymały poprawek zbiorczych, są publikowane jako poprawki jednorazowe. W przypadku takich produktów należy zawsze sprawdzić dokumentację wcześniejszych aktualizacji Critical Patch Update, aby znaleźć wszystkie wymagane poprawki.


Informowanie o poprawkach zabezpieczeń

Oracle informuje o poprawkach zabezpieczeń niezwłocznie, gdy staną się dostępne dla wszystkich objętych asystą techniczną kombinacji wersji produktu i platformy dotkniętych problemem. Są jednak dwa wyjątki od tej reguły:

  1. 1. Poprawka na żądanie: Oracle nie udostępnia regularnie poprawek do mało popularnych kombinacji wersji i platformy (popularność kombinacji określa się na podstawie historycznej liczby pobranych poprawek). Poprawki takie są tworzone na żądanie klientów. Opis programu poprawek na żądanie i procedury zamawiania najnowszych lub przyszłych aktualizacji Critical Patch Update znajduje się w stosownym dokumencie towarzyszącym każdej takiej aktualizacji Critical Patch Update.
  2. 2. Niewielkie opóźnienia w dostępności poprawki (do dwóch tygodni od daty ogłoszenia) mogą być spowodowane problemami technicznymi zaistniałymi podczas przygotowywania i testowania takiej poprawki.

Czasami aktualizacje Critical Patch Update dotyczące konkretnych kombinacji wersji i platformy produktu mogą zawierać zapowiedziane i niezapowiedziane poprawki usuwające luki w zabezpieczeniach. Takie niezapowiedziane poprawki mogą być częścią danej aktualizacji Critical Patch Update, nawet jeśli nie usuwają wszystkich aspektów luki lub jeśli nie dotyczą wszystkich kombinacji wersji i platformy produktu.


Poprawki zabezpieczeń i zestawy poprawek

Poprawki zabezpieczeń znajdują się również w zestawach poprawek (lub ich odpowiedników) oraz w nowych wersjach produktów. Oracle zamieszcza wszystkie poprawki zabezpieczeń w aktualizacjach Critical Patch Update w kolejnych zestawach poprawek i nowych wersjach produktów. Jeśli jest to niemożliwe ze względu na czas publikacji, Oracle tworzy poprawkę zawierającą najnowsze poprawki z aktualizacji Critical Patch Update, którą można zastosować po zainstalowaniu nowego zestawu poprawek lub wersji produktu


Kolejność usuwania luk w zabezpieczeniach

Aby zapewnić maksymalne bezpieczeństwo wszystkim swoim klientom, Oracle usuwa istotne luki w zabezpieczeniach w oparciu o prawdopodobne ryzyko, jakie stwarzają dla klientów. Dzięki temu problemy najbardziej krytyczne są zawsze rozwiązywane jako pierwsze. Poprawki usuwające luki w zabezpieczeniach są przygotowywane w następującej kolejności:

  • Główny wiersz kodu,—czyli kod opracowany do następnej głównej wersji produktu
  • Dla każdej obsługiwanej wersji, która jest podatna na zagrożenia:
    • Główny wiersz kodu,—czyli kod opracowany do następnej głównej wersji produktu
    • Niższe koszty administracji—Stałe daty publikacji aktualizacji Critical Patch Update ułatwiają zarządzanie poprawkami. Wspomniany harmonogram pozwala też unikać typowych dni wyłączenia, kiedy to klienci zazwyczaj nie mogą modyfikować swojego środowiska produkcyjnego.
    • Uproszczone zarządzanie poprawkami—Aktualizacje z poprawkami są zbiorcze dla wielu produktów Oracle. Klienci mogą zatem szybko wdrożyć brakujące poprawki i od razu zainstalować najnowszą ich wersję, ponieważ zastosowanie zbiorczej aktualizacji Critical Patch Update usuwa wszystkie wcześniejsze luki.
    • Identyfikowanie luk w zabezpieczeniach architektury—Analiza systemu zabezpieczeń pozwala identyfikować luki w zabezpieczeniach samej architektury systemu.

Należy zauważyć, że firma Oracle zdecydowanie zaleca klientom korzystanie tylko z obsługiwanych wersji produktów oraz niezwłoczne wdrażanie poprawek i aktualizacji. Wynika to z faktu, że Oracle nie dostarcza poprawek do wersji produktów nieobsługiwanych przez asystę techniczną. Jednak prawdopodobnie produkty te są podatne na luki w zabezpieczeniach, ponieważ hakerzy często wykorzystują aktualizacje CPU, nadają im złośliwe własności i próbują ich użyć wkrótce po publikacji poprawek CPU.

Uwaga: Oracle zaleca stosowanie aktualizacji Critical Patch Update jako głównej metody wdrażania najnowszych zabezpieczeń dla wszystkich produktów, w których występują problemy. Aktualizacje te pojawiają się bowiem częściej niż zestawy poprawek lub nowe wersje produktów.


Dokumentacja dotycząca aktualizacji Critical Patch Update

Każdej aktualizacji Critical Patch Update towarzyszy dokument ze wskazówkami. Zawiera on listę produktów, w których występuje problem, oraz macierz ryzyka dla poszczególnych zestawów.


Macierze ryzyka

Macierze ryzyka zawierają informacje ułatwiające ocenę zagrożenia związanego z lukami w zabezpieczeniach w konkretnym środowisku produkcyjnym. Mogą być one użyte do identyfikacji najbardziej zagrożonych systemów, które należy zaktualizować w pierwszej kolejności. Każda nowa luka usunięta za pomocą aktualizacji Critical Patch Update jest wymieniona w wierszu macierzy ryzyka odnośnie do produktu, w którym występuje problem.


Common Vulnerability Scoring System (CVSS)

Od października 2006 r. Oracle stosuje system Common Vulnerability Scoring System (CVSS) (zamiast swojej metody oceny istotności luk w zabezpieczeniach w macierzach ryzyka). Witryna FIRST zawiera opis systemu oceny CVSS — ma on “zapewnić otwartą i uniwersalnie standardową ocenę zagrożenia wynikającego z luk w zabezpieczeniach.“ CVSS jest standardowy system oceny zagrożenia wynikającego z luk w zabezpieczeniach. Każda nowa luka usuwana za pomocą aktualizacji Critical Patch Update otrzymuje ocenę CVSS określającą warunki wstępne oraz łatwość jej ewentualnego wykorzystania oraz ewentualne skutki udanego ataku w kontekście utraty poufności, integralności i dostępności w systemie docelowym. System CVSS przekształca te dane na wynik podstawowy od 0,0 do 10,0, gdzie 10,0 oznacza lukę powodującą największe zagrożenie. Macierze ryzyka są uporządkowane według wyniku bazowego CVSS; luki powodujące największe zagrożenie znajdują się u góry. Od kwietnia 2016 r. Oracle stosuje wersję 3.0 systemu CVSS i obecnie jest to wersja obowiązująca. W artykule zatytułowanym Korzystanie z systemu Common Vulnerability Scoring System (CVSS) szczegółowo wyjaśniono sposób zastosowania ocen CVSS w towarzyszącym aktualizacjom dokumentach dotyczących oceny ryzyka.


Powszechnie znane podatności i zagrożenia (CVE)

Oracle używa numerów Common Vulnerabilities and Exposures (CVE) do identyfikacji luk w zabezpieczeniach określonych w macierzach ryzyka przedstawionych w dokumentach towarzyszących aktualizacjom Critical Patch Update i Security Alert. Numery CVE to niepowtarzalne identyfikatory wspólne dla wszystkich publicznie dostępnych informacji o lukach w zabezpieczeniach. Program CVE jest współfinansowany przez Agencję ds. Cyberbezpieczeństwa i Komunikacji przy Departamencie Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych i zarządzany przez spółkę MITRE. Oracle jest w tym programie instytucją numerującą (CVE Numbering Authority — CNA), co oznacza, że może publikować numery CVE dla luk w zabezpieczeniach swoich produktów. Należy uwzględnić, że numery porządkowe CVE towarzyszące aktualizacjom Oracle nie zawsze odpowiadają kolejności wykrywania luk. Innymi słowy, numery CVE nie są przypisywane według kolejności wykrywania luk w zabezpieczeniach, do których poprawki są publikowane w poszczególnych dystrybucjach. Dzieje się tak dlatego, że organizacje uprawnione do publikowania numerów CVE (CNA), takie jak Oracle, od czasu do czasu otrzymują zestawy numerów CVE od MITRE, oddzielne żądanie dla nowego numeru CVE nie musi być zatem wysyłane po każdym wykryciu luki. Oracle przypisuje numery CVE lukom w zabezpieczeniach sekwencyjnie, korzystając z puli numerów CVE przypisanych przez CVE około 3 do 4 tygodni przed zaplanowaną dystrybucją poprawki w ramach aktualizacji Critical Patch Update.


Streszczenie

Aby ułatwić klientom szybszą ocenę potencjalnego ryzyka związanego z lukami w zabezpieczeniach usuwanymi za pomocą aktualizacji Critical Patch Update, Oracle oferuje ogólne streszczenia dotyczące poszczególnych produktów. Streszczenie takie zawiera klarowne informacje na temat luk w zabezpieczeniach usuwanych za pomocą aktualizacji Critical Patch Update.


Informowanie o aktualizacjach Critical Patch Update przed ich udostępnieniem

Oracle publikuje streszczenie dokumentacji towarzyszącej aktualizacji Critical Patch Update w czwartek poprzedzający datę publikacji aktualizacji. Streszczenie to zawiera szczegółowe informacje o aktualizacji, w tym:

  • Nazwy i numery wersji produktów Oracle, w których występuje problem, w kolejności od najnowszych do najstarszych luk w zabezpieczeniach usuwanych za pomocą aktualizacji Critical Patch Update
  • Liczba poprawek zabezpieczeń dla każdego zestawu produktów
  • Najwyższy wynik bazowy CVSS dla każdego zestawu produktów
  • Ewentualnie wszelkie informacje, które mogą pomóc klientom w planowaniu wdrożenia aktualizacji Critical Patch Update w konkretnym środowisku

Oracle dba o to, aby informacje przed publikacją były możliwie jak najdokładniejsze, ale rzeczywista zawartość aktualizacji Critical Patch Update może się zmienić już po opublikowaniu tych informacji. Dokumentacja towarzysząca aktualizacji Critical Patch Update powinna być zatem zawsze traktowana jako jedyny dokładny opis rzeczywistej zawartości aktualizacji.