Основным механизмом для исправления уязвимостей к старым версиям продуктов Oracle являются ежеквартальные критические исправления (CPU). Критические обновления выходят в дни, объявленные на год раньше, и публикуются на странице Критические обновления и уведомления системы безопасности. Обновления устраняют значительные уязвимости системы безопасности, а также включают необходимые исправления кода.
Обновления системы безопасности для всех продуктов, получающих критические обновления, доступны действительным клиентам Oracle Support на сайте My Oracle Support. Перейдите по ссылкам ниже, чтобы узнать больше о политиках исправлений системы безопасности Oracle.
В виде уведомления системы безопасности выходит одно исправление уязвимости или небольшое количество исправлений. Вплоть до августа 2004 г. уведомления безопасности были основным механизмом выпуска исправлений. В январе 2005 г. компания Oracle начала выпуск исправлений на регулярной основе через программу критических исправлений.
Oracle может выпустить уведомление безопасности в случае специфической или особо опасной угрозы для заказчиков. В этом случае клиенты получат сообщение об уведомлении безопасности по электронной почте через портал My Oracle Support и сеть Oracle Technology Network. Исправление, включенное в уведомление безопасности, также войдет в следующее критическое исправление.
Насколько это возможно, Oracle всегда стремится сделать критические обновления накопительными. Это означает, что каждое критическое обновление содержит исправления безопасности из всех предыдущих критических обновлений. На практике, если продукты, получающие накопительные исправления, используются отдельно, к ним достаточно применить только последнее критическое обновление, так как оно содержит все необходимые исправления.
Исправления для остальных продуктов выпускаются в виде одноразовых обновлений. Для таких продуктов необходимо сверяться с примечаниями к выпускам предыдущих CPU, чтобы найти все необходимые исправления.
Согласно политике Oracle объявления о выпуске исправлений безопасности делаются по возможности только тогда, когда исправления становятся доступны для всех затрагиваемых и поддерживаемых сочетаний платформ и версий продуктов. Однако для этой политики есть два исключения.
1. Программа предоставления по запросу. Oracle не выпускает исправления систематически для определенных комбинаций платформ и версий продуктов, исправления к которым редко загружаются клиентами. Такие исправления выпускаются по запросу клиентов. Программа предоставления по запросу и процесс отправки запросов на такие исправления для недавних или будущих критических обновлений подробно описаны в документе о доступных исправлениях, который сопровождает каждый выпуск критических обновлений.
2. Возможны незначительные задержки в доступности исправлений до двух недель с даты объявления, как правило, вследствие технических проблем в процессе создания или тестирования исправлений.
Обратите внимание, что в определенных обстоятельствах критические обновления для отдельных комбинаций платформ и версий продуктов могут содержать объявленные и необъявленные исправления уязвимостей. Необъявленное исправление уязвимости может быть включено в данное критическое обновление, когда уязвимость устранена не полностью, а частично, либо когда исправление доступно не для всех комбинаций версий и платформ данного продукта.
Исправления безопасности также входят в наборы исправлений (или их эквиваленты) и в новые выпуски продуктов. Согласно политике Oracle, все исправления безопасности в критическом обновлении включаются в последующие наборы исправлений и выпуски продукта. Если это невозможно по причине времени выпуска, Oracle создает обновление, содержащее исправления из последнего критического обновления, которое можно применить поверх последнего вышедшего набора исправлений или выпуска продукта.
Чтобы обеспечить максимальный уровень безопасности всем своим клиентам, Oracle исправляет значительные уязвимости системы безопасности в зависимости от потенциального риска. Таким образом, в первую очередь устраняются проблемы, представляющие самый серьезный риск. Исправления для уязвимостей системы безопасности выпускаются в следующем порядке.
Обратите внимание, что Oracle настоятельно рекомендует заказчикам использовать только поддерживаемые версии продуктов и своевременно применять критические исправления к используемым выпускам. Это важно, так как Oracle не выпускает исправления для версий продуктов, которые больше не поддерживаются. Тем не менее они с большой вероятностью подвержены уязвимостям, исправленным в критических обновлениях, а злоумышленники часто взламывают исправления сразу после публикации каждого выпуска критических обновлений для создания эксплойтов к этим уязвимостям.
Важное замечание. Напоминаем, что Oracle рекомендует клиентам критические обновления в качестве основного способа поддержки актуальности исправлений безопасности для всех подверженных риску продуктов, поскольку критические обновления выходят чаще, чем наборы исправлений или новые выпуски продуктов.
Основной документ каждого критического обновления содержит рекомендации по применению. В рекомендациях перечислены затронутые продукты и приведена матрица рисков для каждого набора продуктов.
Матрицы рисков содержат информацию, которая помогает клиентам оценить степень риска, связанного с уязвимостями в конкретной среде. Матрицы можно использовать для определения наиболее уязвимых систем, чтобы применить к ним исправления в первую очередь. Каждая новая уязвимость, исправленная в критическом обновлении, указывается в строчке матрицы рисков для затронутого продукта.
В октябре 2006 г. компания Oracle перешла с собственного метода обозначения относительной серьезности уязвимостей в матрицах рисков на Общую систему оценки уязвимостей (CVSS). Веб-сайт FIRST описывает CVSS как систему оценки, которая предоставляет открытую и стандартизированную шкалу серьезности для уязвимостей программного обеспечения. Система CVSS является универсальным методом оценки серьезности уязвимостей. Для каждой уязвимости, исправленной в критическом обновлении, Oracle предоставляет значения метрик CVSS, которые показывают предварительные условия, необходимые для эксплуатации уязвимости, и простоту эксплуатации, а также влияние успешной атаки на конфиденциальность, целостность и доступность (CIA) целевой системы. В системе CVSS используется специальная формула для преобразования этой информации в базовую оценку от 0,0 до 10,0, где 10,0 представляет максимальную степень серьезности. Порядок уязвимостей в матрицах рисков основан на базовой оценке CVSS, и самая серьезная уязвимость указывается первой. Версия 3.0 стандарта CVSS была принята Oracle в апреле 2016 г. и используется в настоящее время. В разделе Использование общей системы оценки уязвимостей (CVSS) компанией Oracle приведено подробное объяснение, как оценки по системе CVSS применяются в рекомендациях Oracle по устранению рисков.
Oracle использует номера распространенных уязвимостей и рисков (CVE) для идентификации уязвимостей, перечисленных в матрицах рисков в сопроводительной документации к критическим обновлениям и уведомлениям безопасности. Номера CVE представляют собой уникальные общие идентификаторы для опубликованной информации об уязвимостях. Программа CVE финансируется Национальным управлением кибербезопасности и коммуникаций при министерстве внутренней безопасности США и управляется корпорацией MITRE. Компания Oracle имеет статус CVE Numbering Authority (CNA), то есть может присваивать номера CVE уязвимостям в своих продуктах. Обратите внимание, что порядок номеров CVE в рекомендациях по применению исправлений Oracle может не соответствовать времени обнаружения данных уязвимостей. Другими словами, номера CVE не обязательно присваиваются в порядке обнаружения уязвимостей, к которым выпущены исправления. Это происходит, потому что организации CNA, такие как Oracle, периодически получают наборы номеров CVE от MITRE, поэтому нет необходимости запрашивать новый номер при каждом обнаружении уязвимости. Номера CVE последовательно присваиваются уязвимостям компанией Oracle из пула полученных номеров CVE примерно за 3–4 недели до запланированного выпуска исправления через программу критических обновлений.
Чтобы помочь компаниям быстро оценивать серьезность потенциальных проблем безопасности, исправленных в CPU, Oracle предоставляет краткое описание, содержащее общий обзор уязвимостей в каждом продукте, которые устраняются в данном критическом исправлении. В этом обзоре простым языком описываются уязвимости, устраняемые в критическом исправлении.
Oracle публикует сводку документации по критическому обновлению в четверг перед выпуском каждого критического обновления. Эта сводка называется предварительным объявлением о выпуске критического обновления и содержит расширенную информацию о будущем критическом обновлении, включая следующее.
Хотя Oracle гарантирует максимальную точность сведений в предварительном объявлении на момент публикации, фактическое содержимое критического обновления может измениться в момент выхода объявления. Поэтому сопроводительную документацию к критическому исправлению следует рассматривать как единственное точное описание его содержимого.