Ничего не найдено

По Вашему запросу ничего не найдено.

Рекомендуем сделать следующее:

  • Проверьте правильность написания ключевых слов.
  • Используйте синонимы введенных Вами ключевых слов, например “приложение” вместо “программное обеспечение”.
  • Попробуйте воспользоваться одним из популярных поисковых запросов ниже.
  • Начните новый поиск.
Актуальные вопросы

Программа регулярных критических исправлений

Основным механизмом для исправления уязвимостей к старым версиям продуктов Oracle являются ежеквартальные критические исправления (CPU). Критические обновления выходят в дни, объявленные годом раньше, и публикуются на странице Критические обновления и уведомления системы безопасности. Обновления устраняют значительные уязвимости системы безопасности, а также включают необходимые исправления кода.

Обновления системы безопасности для всех продуктов, получающих критические обновления, доступны действительным клиентам Oracle Support на сайте My Oracle Support. Перейдите по ссылкам ниже, чтобы узнать больше о политиках исправлений системы безопасности Oracle.

Программа уведомлений системы безопасности

В виде уведомления системы безопасности выходит одно исправление уязвимости или небольшое количество исправлений. До августа 2004 года уведомления безопасности были основным механизмом выпуска исправлений. В январе 2005 года компания Oracle начала выпуск исправлений на регулярной основе через программу критических исправлений.

Oracle может выпустить уведомление безопасности в случае специфической или особо опасной угрозы для заказчиков. В этом случае клиенты получат сообщение об уведомлении безопасности по электронной почте через портал My Oracle Support и сеть Oracle Technology Network. Исправление, включенное в уведомление безопасности, также войдет в следующее критическое исправление.

Накопительные и разовые обновления

Насколько это возможно, Oracle всегда стремится сделать критические обновления накопительными. Это означает, что каждое критическое обновление содержит исправления безопасности из всех предыдущих критических обновлений. На практике, если продукты, получающие накопительные исправления, используются отдельно, к ним достаточно применить только последнее критическое обновление, так как оно содержит все необходимые исправления.

Исправления для остальных продуктов выпускаются в виде одноразовых обновлений. Для таких продуктов необходимо сверяться с примечаниями к выпускам предыдущих CPU, чтобы найти все необходимые исправления.

Объявление о выпуске исправлений безопасности

Согласно политике Oracle, объявления о выпуске исправлений безопасности делаются по возможности только тогда, когда исправления становятся доступны для всех затрагиваемых и поддерживаемых сочетаний платформ и версий продуктов. Однако для этой политики есть два исключения.

1. Программа предоставления по запросу. Oracle не выпускает исправления систематически для определенных комбинаций платформ и версий продуктов, исправления к которым редко загружаются клиентами. Такие исправления выпускаются по запросу клиентов. Программа предоставления по запросу и процесс отправки запросов на такие исправления для недавних или будущих критических обновлений подробно описаны в документе о доступных исправлениях, который сопровождает каждый выпуск критических обновлений.

2. Возможны незначительные задержки в доступности исправлений до двух недель с даты объявления, как правило из-за технических проблем в процессе создания или тестирования исправлений.

Обратите внимание, что в определенных обстоятельствах критические обновления для отдельных комбинаций платформ и версий продуктов могут содержать объявленные и необъявленные исправления уязвимостей. Необъявленное исправление уязвимости может быть включено в данное критическое обновление, когда уязвимость устранена не полностью, а частично, либо когда исправление доступно не для всех комбинаций версий и платформ данного продукта.

Исправления безопасности и наборы исправлений

Исправления безопасности также входят в наборы исправлений (или их эквиваленты) и в новые выпуски продуктов. Согласно политике Oracle, все исправления безопасности в критическом обновлении включаются в последующие наборы исправлений и выпуски продукта. Если это невозможно по причине времени выпуска, Oracle создает обновление, содержащее исправления из последнего критического обновления, которое можно применить поверх последнего вышедшего набора исправлений или выпуска продукта.

Порядок исправления уязвимостей системы безопасности

Чтобы обеспечить максимальный уровень безопасности всем клиентам, Oracle исправляет значительные уязвимости системы безопасности в зависимости от потенциального риска. В первую очередь устраняются проблемы, представляющие самый серьезный риск. Исправления для уязвимостей системы безопасности выпускаются в следующем порядке.

  • Сначала основной код —, то есть код, который разрабатывается для следующего официального выпуска продукта.
  • Для каждой поддерживаемой версии, подверженной уязвимости:
    • Исправление в следующем наборе заплаток, если для данной поддерживаемой версии планируется другой набор заплаток.
    • Создание критического исправления (CPU)

Обратите внимание, что Oracle настоятельно рекомендует заказчикам использовать только поддерживаемые версии продуктов и своевременно применять критические исправления к используемым выпускам. Это важно, так как Oracle не выпускает исправления для версий продуктов, которые больше не поддерживаются. Тем не менее они с большой вероятностью подвержены уязвимостям, исправленным в критических обновлениях, а злоумышленники часто взламывают исправления сразу после публикации каждого выпуска критических обновлений для создания эксплойтов к этим уязвимостям.

Важное замечание. Напоминаем, что Oracle рекомендует клиентам критические обновления в качестве основного способа поддержки актуальности исправлений безопасности для всех подверженных риску продуктов, поскольку критические обновления выходят чаще, чем наборы исправлений или новые выпуски продуктов.

Документация по критическим обновлениям

Основной документ каждого критического обновления содержит рекомендации по применению. В рекомендациях перечислены затронутые продукты и приведена матрица рисков для каждого набора продуктов.

Матрицы рисков

Матрицы рисков содержат информацию, которая помогает клиентам оценить степень риска, связанного с уязвимостями в конкретной среде. Матрицы можно использовать для определения наиболее уязвимых систем, чтобы применить к ним исправления в первую очередь. Каждая новая уязвимость, исправленная в критическом обновлении, указывается в строчке матрицы рисков для затронутого продукта.

Общая система оценки уязвимостей (CVSS)

Oracle использует Common Vulnerability Scoring System (CVSS), чтобы сообщать об относительной серьезности уязвимостей безопасности. Информация CVSS представлена в матрицах рисков, публикуемых в Critical Patch Update и Security Alert Advisories, в виде отдельных показателей, которые охватывают технические аспекты уязвимостей, такие как предварительные условия, необходимые для успешной эксплуатации. CVSS использует формулу для преобразования показателей в базовую оценку от 0,0 до 10,0, где 10,0 представляет наибольшую серьезность. Oracle упорядочивает матрицы рисков, используя этот базовый балл, помещая наиболее серьезные уязвимости в верхней части каждой матрицы рисков. Чтобы помочь заказчикам принимать более обоснованные решения о внесении исправлений, Oracle предоставляет дополнительную информацию по каждой уязвимости.

Oracle приняла CVSS в 2006 году и внедряла новые версии стандарта по мере их выпуска. Версия CVSS 3.1, используемая в текущих рекомендациях и предупреждениях, была принята в июле 2020 года. В разделе «Использование общей системы оценки уязвимостей (CVSS)» компанией Oracle приведено подробное объяснение, как оценки по системе CVSS применяются в рекомендациях Oracle по устранению рисков.

Распространенные уязвимости и риски (CVE)

Oracle использует номера распространенных уязвимостей и рисков (CVE) для идентификации уязвимостей, перечисленных в матрицах рисков в сопроводительной документации к критическим обновлениям и уведомлениям безопасности. Номера CVE представляют собой уникальные общие идентификаторы для опубликованной информации об уязвимостях. Программа CVE финансируется Национальным управлением кибербезопасности и коммуникаций при министерстве внутренней безопасности США и управляется корпорацией MITRE. Компания Oracle имеет статус CVE Numbering Authority (CNA), то есть может присваивать номера CVE уязвимостям в своих продуктах. Обратите внимание, что порядок номеров CVE в рекомендациях по применению исправлений Oracle может не соответствовать времени обнаружения данных уязвимостей. Другими словами, номера CVE не обязательно присваиваются в порядке обнаружения уязвимостей, к которым выпущены исправления. Это происходит, потому что организации CNA, такие как Oracle, периодически получают наборы номеров CVE от MITRE, поэтому нет необходимости запрашивать новый номер при каждом обнаружении уязвимости. Номера CVE последовательно присваиваются уязвимостям компанией Oracle из пула полученных номеров CVE примерно за 3–4 недели до запланированного выпуска исправления через программу критических обновлений.

Краткое описание

Чтобы помочь компаниям быстро оценивать серьезность потенциальных проблем безопасности, исправленных в CPU, Oracle предоставляет краткое описание, содержащее общий обзор уязвимостей в каждом продукте, которые устраняются в данном критическом исправлении. В этом обзоре простым языком описываются уязвимости, устраняемые в критическом исправлении.

Предварительное объявление о выпуске критического обновления

Oracle публикует сводку документации по критическому обновлению в четверг перед выпуском каждого критического обновления. Эта сводка называется предварительным объявлением о выпуске критического обновления и содержит расширенную информацию о будущем критическом обновлении, включая следующее.

  • Названия и номера версий продуктов Oracle, подверженных новым уязвимостям, которые исправлены в данном критическом обновлении.
  • Количество исправлений безопасности для каждого набора продуктов.
  • Самую высокую оценку по базовым метрикам CVSS для каждого набора продуктов.
  • И любую другую информацию, которая поможет организациям подготовиться к применению критического обновления в своей среде.

Хотя Oracle гарантирует максимальную точность сведений в предварительном объявлении на момент публикации, фактическое содержимое критического обновления может измениться в момент выхода объявления. Поэтому сопроводительную документацию к критическому исправлению следует рассматривать как единственное точное описание его содержимого.