Niciun rezultat găsit

Căutarea dvs. nu a întors niciun rezultat

We suggest you try the following to help find what you're looking for:

  • Check the spelling of your keyword search.
  • Use synonyms for the keyword you typed, for example, try “application” instead of “software.”
  • Try one of the popular searches shown below.
  • Start a new search.

 

Trending Questions

Programul Actualizări de corecții critice

Mecanismul principal pentru corecții în versiunile anterioare privind remedierile pentru vulnerabilități de securitate ale produselor Oracle constă în programul trimestrial Actualizări de corecții critice. Actualizările de corecții critice sunt lansate în datele anunțate cu un an în urmă și publicate pe pagina Actualizări de corecții critice și alerte de securitate. Corecțiile rezolvă vulnerabilități importante de securitate și includ remedieri ale codului, care sunt cerințe preliminare pentru remedierile de securitate.

Actualizările de securitate pentru toate produsele care beneficiază de Actualizări de corecții critice sunt disponibile pentru clienții Oracle Support în My Oracle Support. Accesați linkurile de mai jos pentru a afla mai multe despre politicile Oracle privind remedierile de securitate.

Programul Alerte de securitate

Alerte de securitate reprezintă un mecanism de lansare a remedierii unei vulnerabilități sau a unui număr mic de vulnerabilități. Alertele de securitate au fost utilizate până în august 2004 ca instrument principal pentru remedierile de securitate. În ianuarie 2005, Oracle a început să lanseze remedieri pe baza unui program fix, utilizând Actualizările de corecții critice.

Oracle poate emite o Alertă de securitate în cazul unei amenințări unice sau periculoase pentru clienți. În acest caz, clienții vor fi notificați de Alerta de securitate prin notificare e-mail, My Oracle Support și Oracle Technology Network. Remedierea inclusă în Alerta de securitate va fi, de asemenea, inclusă în Actualizările de corecții critice ulterioare.

Corecții cumulative versus corecții unice

În măsura în care este posibil, Oracle încearcă să efectueze cumulativ Actualizările de corecții critice, ceea ce înseamnă că fiecare Actualizare de corecții critice conține remedierile de securitate din actualizarea anterioară. Practic, pentru produsele care beneficiază de remedieri cumulative, cea mai recentă Actualizare de corecții critice este singura care trebuie aplicată atunci când utilizați numai aceste produse, deoarece conține toate remedierile necesare.

Remedierile pentru celelalte produse care nu beneficiază de remedieri cumulative sunt lansate sub forma corecțiilor unice. Pentru aceste produse este necesară consultarea informațiilor din Actualizarea de corecții critice anterioară, pentru găsirea tuturor corecțiilor care trebuie instalate.

Anunț privind remedierile de securitate

Politica Oracle este de a anunța remedieri de securitate în măsura în care este posibil, numai atunci când aceste remedieri sunt disponibile pentru toate combinațiile de versiuni de produse și platforme afectate și acceptate. Cu toate acestea, există două excepții de la această politică:

1. Program la cerere: Oracle nu produce sistematic corecții pentru anumite combinații de versiuni de produse sau platforme cu rată scăzută de descărcare a corecțiilor de către clienți. Producerea unor astfel de corecții trebuie solicitată de către clienți. Programul la cerere și procesul de a solicita astfel de corecții pentru Actualizările de corecții critice recente sau viitoare sunt detaliate în documentul Disponibilitatea corecțiilor care însoțește fiecare versiune de Actualizări de corecții critice.

2. Întârzierile minore la disponibilitatea corecțiilor, de maximum două săptămâni de la anunțarea datei, se datorează în general problemelor tehnice apărute în timpul procesului de producție sau de testare a corecțiilor.

Rețineți că, în astfel de circumstanțe, Actualizările de corecții critice pentru anumite combinații de produse versiune/platformă pot include remedieri ale vulnerabilităților anunțate sau neanunțate. O remediere neanunțată a unei vulnerabilități poate fi inclusă într-o anumită Actualizare de corecții critice, atunci când unele dar nu toate componentele vulnerabilității au fost remediate sau dacă remedierea este disponibilă pentru unele dar nu toate combinațiile versiune-platformă pentru produsul respectiv.

Seturi de remedieri și corecții de securitate

De asemenea, remedierile de securitate sunt incluse în seturi de remedieri (sau echivalente) și în lansările de produse noi. Politica Oracle este de a include toate remedierile de securitate într-o Actualizare de corecții critice, în seturi ulterioare de remedieri sau în lansări de produse. Dacă nu este posibil, ca urmare a programării unei lansări, Oracle va crea o corecție conținând ce mai recentă remediere pentru Actualizarea de corecții critice care poate fi aplicată peste noul set de corecții sau lansare de produs.

Ordinea remedierii vulnerabilităților de securitate

Pentru a oferi cea mai bună securitate tuturor clienților Oracle, remediem vulnerabilitățile semnificative de securitate pe baza riscului potențial pe care îl reprezintă pentru clienți. Ca rezultat, cele mai importante riscuri sunt remediate întotdeauna primele. Remediile pentru vulnerabilități de securitate sunt create în următoarea ordine:

  • Mai întâi codul de linie principal—codul de linie dezvoltat pentru următoarea lansare majoră a produsului
  • Pentru fiecare versiune acceptată vulnerabilă:
    • Se remediază următoarea corecție dacă un alt set de corecții este planificat pentru versiunea acceptată
    • Se creează actualizările de corecții critice

Rețineți că Oracle recomandă cu tărie clienților să utilizeze numai versiuni acceptate ale produselor și să aplice remedierile actualizărilor de corecții critice fără întârziere pe versiunile utilizate. Aceasta deoarece Oracle nu furnizează remedieri pentru versiunile produselor care nu mai acceptă asistență. Dar, este foarte probabil ca acestea să fie expuse la vulnerabilități remediate de Actualizările de corecții critice, iar factorii rău intenționați utilizează adesea ingineria inversă pentru a împiedica remediile pentru Actualizările de corecții critice și încearcă să exploateze în mod rău intenționat aceste probleme la scurt timp după publicarea versiunilor pentru Actualizările de corecții critice.

Notă importantă: rețineți că Oracle recomandă ca Actualizările de corecții critice să fie principalul mijloc al clienților de actualizare a remediilor de securitate pentru toate produsele afectate, deoarece Actualizările de corecții critice sunt lansate mai frecvent decât seturile de corecții și lansările de produse noi.

Documentația Actualizărilor de corecții critice

Fiecare Actualizare de corecții critice are un raport drept document de cel mai înalt nivel. Acest raport afișează lista produselor afectate și conține o matrice de riscuri pentru fiecare suită de produse.

Matricele de risc

Matricele de risc oferă informații care ajută clienții să evalueze riscurile reprezentate de vulnerabilitățile de securitate în mediul lor specific. Acestea pot fi utilizate pentru identificarea celor mai expuse sisteme la risc, care vor fi corectate primele. Fiecare vulnerabilitate nouă de securitate remediată într-o Actualizare de corecții critice este afișată pe un rând al matricei de riscuri, pentru produsul pe care îl afectează.

Sistemul comun de evaluare a vulnerabilităților (CVSS)

În octombrie 2006 Oracle a trecut de la o metodă proprietară de indicare a gravității relative a vulnerabilităților de securitate în matricele de riscuri la Sistemul comun de evaluare a vulnerabilităților (CVSS). PRIMUL site web descrie Sistemul comun de evaluare a vulnerabilităților drept un sistem de evaluare creat pentru a oferi evaluări standard, deschise și universale ale gravității vulnerabilităților software. Sistemul comun de evaluare a vulnerabilităților reprezintă o metodă standardizată de evaluare a gravității vulnerabilităților de securitate. Pentru fiecare vulnerabilitate nouă, remediată în Actualizările de corecții critice, Oracle oferă valori pentru indicatorii Sistemului comun de evaluare a vulnerabilităților, indicând condițiile prealabile necesare pentru exploatarea vulnerabilității, ușurința exploatării și impactul unui atac reușit, în termeni de confidențialitate, integritate și disponibilitate (CIA) a sistemelor vizate. Sistemul comun de evaluare a vulnerabilităților utilizează o formulă pentru a transforma aceste informații într-un Punctaj de bază, cuprins între 0,0 și 10,0 unde 10, 0 reprezintă cea mai gravă vulnerabilitate. Matricele de riscuri sunt ordonate utilizând Punctajul de bază al Sistemului comun de evaluare a vulnerabilităților, începând cu cea mai gravă vulnerabilitate. Versiunea 3.0 pentru standardele Sistemului comun de evaluare a vulnerabilităților a fost adoptat de Oracle în aprilie 2016 și este utilizat în prezent. Utilizarea Sistemului comun de evaluare a vulnerabilităților (CVSS) de către Oracle oferă explicații detaliate despre modul în care evaluările Sistemului comun de evaluare a vulnerabilităților sunt aplicate în rapoartele de risc de la Oracle.

Vulnerabilitățile și expunerile obișnuite (CVE)

Valorile Vulnerabilităților și expunerilor obișnuite (CVE) sunt utilizate de Oracle pentru a identifica vulnerabilitățile afișate în matricele de riscuri, în rapoartele Actualizărilor de corecții critice și Alertelor de securitate. Valorile Vulnerabilităților și expunerilor obișnuite sunt identificatori unici, comuni pentru informații cu caracter public, referitoare la vulnerabilitățile de securitate. Programul Vulnerabilități și expuneri obișnuite este co-sponsorizat de Office of Cybersecurity and Communications de la U.S. Department of Homeland Security și este gestionat de corporația MITRE. Oracle este o autoritate care poate emite valori CVE (CNA), adică poate include valori CVE în vulnerabilitățile produselor sale. Rețineți că solicitarea de cifre CVE din documentele de securitate Oracle nu corespunde neapărat cu data descoperirii vulnerabilităților la care acestea fac referire. Cu alte cuvinte, valorile Vulnerabilităților și expunerilor obișnuite nu sunt atribuite în ordinea datelor la care au fost descoperite vulnerabilitățile ale căror remedieri vor fi livrate în aceste distribuții. Aceasta deoarece autoritățile care pot emite valori pentru Vulnerabilitățile și expunerile obișnuite (CNA) precum Oracle primesc periodic seturi de valori ale Vulnerabilităților și expunerilor obișnuite de la MITRE, deci o solicitare separată pentru o nouă valoare a Vulnerabilităților și expunerilor obișnuite nu trebuie efectuată ori de câte ori este descoperită o vulnerabilitate. Valorile Vulnerabilităților și expunerilor obișnuite sunt alocate secvențial vulnerabilităților de Oracle, din rezervorul valorilor Vulnerabilităților și expunerilor obișnuite alocate de organizația CVE cu aproximativ 3-4 săptămâni înainte de distribuirea programată a remedierii, prin intermediul programului Actualizări de corecții critice.

Rezumat pentru roluri de decizie

Pentru a ajuta organizațiile să evalueze rapid importanța problemelor potențiale de securitate remediate în Actualizările de corecții critice, Oracle oferă un Rezumat pentru roluri de decizie cu un rezumat la nivel înalt al problemelor de securitate din fiecare produs, rezolvate de Actualizările de corecții critice. Acest Rezumat pentru roluri de decizie, redactat în limba engleză, oferă explicații referitoare la vulnerabilitățile rezolvate de Actualizările de corecții critice.

Anunț privind pre-lansarea Actualizărilor de corecții critice

Oracle publică un rezumat al documentației pentru Actualizările de corecții critice în ziua de joi, înainte de data lansării fiecărei Actualizări de corecții critice. Acest rezumat, denumit Anunț privind pre-lansarea Actualizărilor de corecții critice, oferă informații la nivel avansat referitoare la Actualizările de corecții critice viitoare, inclusiv:

  • Numele și numărul versiunilor produselor Oracle afectate de noile vulnerabilități care au fost remediate în Actualizarea de corecții critice.
  • Numărul remedierilor de securitate pentru fiecare suită de produse.
  • Cel mai mare Punctaj de bază al Sistemului comun de evaluare a vulnerabilităților pentru fiecare suită de produse.
  • Și, probabil, orice alte informații care pot fi relevante pentru a ajuta organizațiile să planifice aplicarea Actualizărilor de corecții critice în mediile proprii

În timp ce Oracle se asigură ca fiecare anunț pre-lansare să fie cât mai precis posibil la momentul publicării, conținutul actual al fiecărei Actualizări de corecții critice poate fi diferit după publicarea anunțului pre-lansare. Documentele de informații utile privind Actualizările de corecții critice trebuie considerate singurele descrieri precise ale conținutului real al Actualizărilor de corecții critice.