Programul Actualizări de corecţii critice

Mecanismul principal pentru corecţii în versiunile anterioare privind remedierile pentru vulnerabilităţi de securitate ale produselor Oracle constă în programul trimestrial Actualizări de corecţii critice. Actualizările de corecţii critice sunt lansate în datele anunţate cu un an în urmă şi publicate pe pagina Actualizări de corecţii critice şi alerte de securitate. Corecţiile rezolvă vulnerabilităţi importante de securitate şi includ remedieri ale codului, care sunt cerinţe preliminare pentru remedierile de securitate.

Actualizările de securitate pentru toate produsele care beneficiază de Actualizări de corecţii critice sunt disponibile pentru clienţii Oracle Support în My Oracle Support. Accesaţi linkurile de mai jos pentru a afla mai multe despre politicile Oracle privind remedierile de securitate.

Programul Alerte de securitate

Alerte de securitate reprezintă un mecanism de lansare a remedierii unei vulnerabilităţi sau a unui număr mic de vulnerabilităţi. Alertele de securitate au fost utilizate până în august 2004 ca instrument principal pentru remedierile de securitate. În ianuarie 2005 Oracle a început să lanseze remedieri pe baza unui program fix, utilizând Actualizările de corecţii critice.

Oracle poate emite o Alertă de securitate în cazul unei ameninţări unice sau periculoase pentru clienţi. În acest caz, clienţii vor fi notificaţi de Alerta de securitate prin notificare e-mail, My Oracle Support şi Oracle Technology Network. Remedierea inclusă în Alerta de securitate va fi, de asemenea, inclusă în Actualizările de corecţii critice.


Corecţii cumulative versus corecţii unice

În măsura în care este posibil, Oracle încearcă să efectueze cumulativ Actualizările de corecţii critice, ceea ce înseamnă că fiecare Actualizare de corecţii critice conţine remedierile de securitate din actualizarea anterioară. Practic, pentru produsele care beneficiază de remedieri cumulative, cea mai recentă Actualizare de corecţii critice este singura care trebuie aplicată atunci când utilizaţi numai aceste produse, deoarece conţine toate remedierile necesare.

Remedierile pentru celelalte produse care nu beneficiază de remedieri cumulative sunt lansate sub forma corecţiilor unice. Pentru aceste produse este necesară consultarea informaţiilor din Actualizarea de corecţii critice anterioară, pentru găsirea tuturor corecţiilor care trebuie instalate.


Anunţ privind remedierile de securitate

Politica Oracle este de a anunţa remedieri de securitate în măsura în care este posibil, numai atunci când aceste remedieri sunt disponibile pentru toate combinaţiile de versiuni de produse şi platforme afectate şi acceptate. Cu toate acestea, există două excepţii de la această politică:

  1. 1. Program la cerere: Oracle nu produce sistematic corecţii pentru anumite combinaţii de versiuni de produse sau platforme cu rată scăzută de descărcare a corecţiilor de către clienţi. Producerea unor astfel de corecţii trebuie solicitată de către clienţi. Programul la cerere şi procesul de a solicita astfel de corecţii pentru Actualizările de corecţii critice recente sau viitoare sunt detaliate în documentul Disponibilitatea corecţiilor care însoţeşte fiecare versiune de Actualizări de corecţii critice.
  2. 2. Întârzierile minore la disponibilitatea corecţiilor, de maximum două săptămâni de la anunţarea datei, se datorează în general problemelor tehnice apărute în timpul procesului de producţie sau de testare a corecţiilor.

Reţineţi că, în astfel de circumstanţe, Actualizările de corecţii critice pentru anumite combinaţii de produse versiune/platformă pot include remedieri ale vulnerabilităţilor anunţate sau neanunţate. O remediere neanunţată a unei vulnerabilităţi poate fi inclusă într-o anumită Actualizare de corecţii critice, atunci când unele dar nu toate componentele vulnerabilităţii au fost remediate sau dacă remedierea este disponibilă pentru unele dar nu toate combinaţiile versiune-platformă pentru produsul respectiv.


Seturi de remedieri şi corecţii de securitate

De asemenea, remedierile de securitate sunt incluse în seturi de remedieri (sau echivalente) şi în lansările de produse noi. Politica Oracle este de a include toate remedierile de securitate într-o Actualizare de corecţii critice, în seturi ulterioare de remedieri sau în lansări de produse. Dacă nu este posibil, ca urmare a programării unei lansări, Oracle va crea o corecţie conţinând ce mai recentă remediere pentru Actualizarea de corecţii critice care poate fi aplicată peste noul set de corecţii sau lansare de produs.


Ordinea remedierii vulnerabilităţilor de securitate

Pentru a oferi cea mai bună securitate tuturor clienţilor Oracle, remediem vulnerabilităţile semnificative de securitate pe baza riscului potenţial pe care îl reprezintă pentru clienţi. Ca rezultat, cele mai importante riscuri sunt remediate întotdeauna primele. Remediile pentru vulnerabilităţi de securitate sunt create în următoarea ordine:

  • Mai întâi codul de linie principal—codul de linie dezvoltat pentru următoarea lansare majoră a produsului
  • Pentru fiecare versiune acceptată vulnerabilă:
    • Mai întâi codul de linie principal—codul de linie dezvoltat pentru următoarea lansare majoră a produsului
    • Costuri de administrare scăzute—O programare fixată a Actualizărilor de corecţii critice elimină presupunerile din managementul corecţiilor. De asemenea, programul este creat pentru a evita datele de inactivitate, în timpul cărora clienţii nu îşi pot modifica mediile de producţie.
    • Management simplificat al corecţiilor—Actualizările corecţiilor sunt cumulative pentru multe dintre produsele Oracle. Acest lucru le oferă clienţilor posibilitatea de a se pune la curent rapid cu nivelul actual al lansării de securitate, deoarece aplicarea celei mai recente actualizări de corecţii critice remediază toate vulnerabilităţile detectate anterior.
    • Identificarea vulnerabilităţilor arhitecturale—Evaluările de securitate pot duce la identificarea vulnerabilităţilor arhitecturale

Reţineţi că Oracle recomandă cu tărie clienţilor să utilizeze numai versiuni acceptate ale produselor şi să aplice remedierile actualizărilor de corecţii critice fără întârziere pe versiunile utilizate. Aceasta deoarece Oracle nu furnizează remedieri pentru versiunile produselor care nu mai acceptă asistenţă. Dar, este foarte probabil ca acestea să fie expuse la vulnerabilităţi remediate de Actualizările de corecţii critice, iar factorii rău intenţionaţi utilizează adesea ingineria inversă pentru a împiedica remediile pentru Actualizările de corecţii critice şi încearcă să exploateze în mod rău intenţionat aceste probleme la scurt timp după publicarea versiunilor pentru Actualizările de corecţii critice.

Notă importantă: reţineţi că Oracle recomandă ca Actualizările de corecţii critice să fie principalul mijloc al clienţilor de actualizare a remediilor de securitate pentru toate produsele afectate, deoarece Actualizările de corecţii critice sunt lansate mai frecvent decât seturile de corecţii şi lansările de produse noi.


Documentaţia Actualizărilor de corecţii critice

Fiecare Actualizare de corecţii critice are un raport drept document de cel mai înalt nivel. Acest raport afişează lista produselor afectate şi conţine o matrice de riscuri pentru fiecare suită de produse.


Matricele de risc

Matricele de risc oferă informaţii care ajută clienţii să evalueze riscurile reprezentate de vulnerabilităţile de securitate în mediul lor specific. Acestea pot fi utilizate pentru identificarea celor mai expuse sisteme la risc, care vor fi corectate primele. Fiecare vulnerabilitate nouă de securitate remediată într-o Actualizare de corecţii critice este afişată pe un rând al matricei de riscuri, pentru produsul pe care îl afectează.


Sistemul comun de evaluare a vulnerabilităţilor (CVSS)

În octombrie 2006 Oracle a trecut de la o metodă proprietară de indicare a gravităţii relative a vulnerabilităţilor de securitate în matricele de riscuri la Sistemul comun de evaluare a vulnerabilităţilor (CVSS). PRIMUL site web descrie Sistemul comun de evaluare a vulnerabilităţilor drept un sistem de evaluare creat pentru a oferi evaluări standard, deschise şi universale ale gravităţii vulnerabilităţilor software. Sistemul comun de evaluare a vulnerabilităţilor reprezintă o metodă standardizată de evaluare a gravităţii vulnerabilităţilor de securitate. Pentru fiecare vulnerabilitate nouă, remediată în Actualizările de corecţii critice, Oracle oferă valori pentru indicatorii Sistemului comun de evaluare a vulnerabilităţilor, indicând condiţiile prealabile necesare pentru exploatarea vulnerabilităţii, uşurinţa exploatării şi impactul unui atac reuşit, în termeni de confidenţialitate, integritate şi disponibilitate (CIA) a sistemelor vizate. Sistemul comun de evaluare a vulnerabilităţilor utilizează o formulă pentru a transforma aceste informaţii într-un Punctaj de bază, cuprins între 0,0 şi 10,0 unde 10, 0 reprezintă cea mai gravă vulnerabilitate. Matricele de riscuri sunt ordonate utilizând Punctajul de bază al Sistemului comun de evaluare a vulnerabilităţilor, începând cu cea mai gravă vulnerabilitate. Versiunea 3.0 pentru standardele Sistemului comun de evaluare a vulnerabilităţilor a fost adoptat de Oracle în aprilie 2016 şi este utilizat în prezent. Utilizarea Sistemului comun de evaluare a vulnerabilităţilor (CVSS) de către Oracle oferă explicaţii detaliate despre modul în care evaluările Sistemului comun de evaluare a vulnerabilităţilor sunt aplicate în rapoartele de risc de la Oracle.


Vulnerabilităţile şi expunerile obişnuite (CVE)

Valorile Vulnerabilităţilor şi expunerilor obişnuite (CVE) sunt utilizate de Oracle pentru a identifica vulnerabilităţile afişate în matricele de riscuri, în rapoartele Actualizărilor de corecţii critice şi Alertelor de securitate. Valorile Vulnerabilităţilor şi expunerilor obişnuite sunt identificatori unici, comuni pentru informaţii cu caracter public, referitoare la vulnerabilităţile de securitate. Programul Vulnerabilităţi şi expuneri obişnuite este co-sponsorizat de Office of Cybersecurity and Communications de la U.S. Department of Homeland Security şi este gestionat de corporaţia MITRE. Oracle este o autoritate care poate emite valori CVE (CNA), adică poate include valori CVE în vulnerabilităţile produselor sale. Reţineţi că solicitarea de cifre CVE din documentele de securitate Oracle nu corespunde neapărat cu data descoperirii vulnerabilităţilor la care acestea fac referire. Cu alte cuvinte, valorile Vulnerabilităţilor şi expunerilor obişnuite nu sunt atribuite în ordinea datelor la care au fost descoperite vulnerabilităţile ale căror remedieri vor fi livrate în aceste distribuţii. Aceasta deoarece autorităţile care pot emite valori pentru Vulnerabilităţile şi expunerile obişnuite (CNA) precum Oracle primesc periodic seturi de valori ale Vulnerabilităţilor şi expunerilor obişnuite de la MITRE, deci o solicitare separată pentru o nouă valoare a Vulnerabilităţilor şi expunerilor obişnuite nu trebuie efectuată ori de câte ori este descoperită o vulnerabilitate. Valorile Vulnerabilităţilor şi expunerilor obişnuite sunt alocate secvenţial vulnerabilităţilor de Oracle, din rezervorul valorilor Vulnerabilităţilor şi expunerilor obişnuite alocate de organizaţia CVE cu aproximativ 3-4 săptămâni înainte de distribuirea programată a remedierii, prin intermediul programului Actualizări de corecţii critice.


Rezumat pentru roluri de decizie

Pentru a ajuta organizaţiile să evalueze rapid importanţa problemelor potenţiale de securitate remediate în Actualizările de corecţii critice, Oracle oferă un Rezumat pentru roluri de decizie cu un rezumat la nivel înalt al defectelor de securitate din fiecare produs, rezolvate de Actualizările de corecţii critice. Acest Rezumat pentru roluri de decizie, redactat în limba engleză, oferă explicaţii referitoare la vulnerabilităţile rezolvate de Actualizările de corecţii critice.


Anunţ privind pre-lansarea Actualizărilor de corecţii critice

Oracle publică un rezumat al documentaţiei pentru Actualizările de corecţii critice în ziua de joi, înainte de data lansării fiecărei Actualizări de corecţii critice. Acest rezumat, denumit Anunţ privind pre-lansarea Actualizărilor de corecţii critice, oferă informaţii la nivel avansat referitoare la Actualizările de corecţii critice viitoare, inclusiv:

  • Numele şi numărul versiunilor produselor Oracle afectate de noile vulnerabilităţi care au fost remediate în Actualizarea de corecţii critice.
  • Numărul remedierilor de securitate pentru fiecare suită de produse.
  • Cel mai mare Punctaj de bază al Sistemului comun de evaluare a vulnerabilităţilor pentru fiecare suită de produse.
  • Şi, probabil, orice alte informaţii care pot fi relevante pentru a ajuta organizaţiile să planifice aplicarea Actualizărilor de corecţii critice în mediile proprii

În timp ce Oracle se asigură ca fiecare anunţ pre-lansare să fie cât mai precis posibil la momentul publicării, conţinutul actual al fiecărei Actualizări de corecţii critice poate fi diferit după publicarea anunţului pre-lansare. Documentele de informaţii utile privind Actualizările de corecţii critice trebuie considerate singurele descrieri precise ale conţinutului real al Actualizărilor de corecţii critice.