Policyer för korrigering av säkerhetsbrister

Den primära metoden för bakåtportering av korrigeringar av säkerhetsbrister i Oracles produkter är via de CPU:er (Critical Patch Updates) som publiceras en gång i kvartalet. Utgivningsdatumen meddelas ett år i förväg och CPU:erna publiceras på sidan om Critical Patch Updates och Security Alerts. Korrigeringarna åtgärdar viktiga säkerhetsbrister och innehåller även nödvändiga korrigeringar av programkod.

Aktiva Oracle Support-kunder hittar säkerhetsuppdateringar för alla produkter som omfattas av CPU:er på webbplatsen My Oracle Support. Klicka på länkarna nedan om du vill läsa mer om Oracles policyer för korrigering av säkerhetsbrister:


Security Alerts

Security Alerts är vår metod för att publicera enstaka och mindre antal säkerhetskorrigeringar. Fram till augusti 2004 var Security Alerts vår primära metod för att publicera säkerhetskorrigeringar. I januari 2005 började Oracle publicera fast schemalagda korrigeringar i form av CPU:er (Critical Patch Updates).

Oracle utfärdar Security Alerts vid unika eller farliga hot mot våra kunder. I sådana situationer informeras kunderna om denna Security Alert via e-post från My Oracle Support och Oracle Technology Network. Korrigeringen i Security Alert-dokumentet ingår dessutom i nästa schemalagda Critical Patch Update.

Ackumulerade korrigeringar kontra engångskorrigeringar

Oracle strävar efter att så långt det är möjligt göra CPU:erna ackumulerade, så att varje CPU innehåller alla tidigare säkerhetskorrigeringar. Det innebär i praktiken att produkter som omfattas av ackumulerade korrigeringar kan åtgärdas med den senaste CPU:n, eftersom den innehåller alla nödvändiga korrigeringar.

Korrigeringar av andra produkter som inte omfattas av ackumulerade korrigeringar publiceras som engångskorrigeringar. För sådana produkter måste dessutom tidigare CPU:er konsulteras.

Meddelande om säkerhetskorrigeringar

Oracle har som tumregel att så långt det är möjligt endast publicera säkerhetskorrigeringar när de finns tillgängliga för alla de kombinationer av produktversioner och plattformar som berörs och stöds. Det finns dock två undantag till denna regel:

1. På begäran-programmet: Oracle publicerar inte systematiskt korrigeringar för kombinationer av produktversioner och plattformar som historiskt sett har haft låg nedladdningsfrekvens. Sådana korrigeringar kan publiceras på begäran från kunderna. Information om På begäran-programmet och hur du begär sådana korrigeringar för tidigare eller kommande CPU:er finns i det Patch Availability Document som medföljer varje CPU-utgåva.

2. Om det inträffar tekniska problem under produktionen eller testningen av korrigeringen kan det hända att publiceringen försenas med upp till två veckor efter utgivningsdatumet.

I vissa situationer kan CPU:er för särskilda kombinationer av produktversioner och plattformar bestå av både föranmälda och oanmälda säkerhetskorrigeringar. En oanmäld säkerhetskorrigering kan ingå i en CPU-korrigering när vissa men inte alla aspekter av sårbarheten har åtgärdats eller när korrigeringen är tillgänglig för vissa men inte alla kombinationer av produktversioner och plattformar för en viss produkt.

Säkerhetskorrigeringar och korrigeringsuppsättningar

Säkerhetskorrigeringarna ingår även i korrigeringsuppsättningar eller motsvarande samt i nya produktutgåvor. Oracle har som regel att samtliga säkerhetskorrigeringar i en CPU ska finnas med i senare korrigeringsuppsättningar och produktutgåvor. Om detta inte är möjligt på grund av att lanseringsdatumet är för nära förestående publicerar Oracle en korrigering som innehåller de senaste CPU-åtgärderna som kan vidtas utöver den senast utgivna korrigeringsuppsättningen eller produktutgåvan.

Prioritetsordning vid åtgärd av säkerhetsbrister

I syfte att erbjuda alla Oracle-kunder största möjliga säkerhet åtgärdar Oracle större säkerhetsbrister efter den risk de förmodligen utsätter kunderna för. Det innebär att de allvarligaste riskerna åtgärdas först. Sårbarhetskorrigeringar publiceras i följande prioritetsordning:

  • primärkoden först – kod som utvecklas inför nästa stora utgåva av produkten
  • För varje version som stöds och som är utsatt:
    • Ordna i nästa korrigeringsuppsättning om en ytterligare sådan är planerad för den version som stöds
    • En CPU-korrigering skapas

Observera att Oracle VARMT rekommenderar att kunderna bara använder produktversioner som stöds och att kunderna installerar viktiga korrigeringar utan dröjsmål för de versioner som de använder. Det beror på att Oracle inte tillhandahåller korrigeringar för produktversioner som vi inte längre ger support på, även om det är mycket sannolikt att de är sårbara för de problem som CPU-korrigeringarna rättar till och brottslingar många gånger analyserar CPU-korrigeringar, gör om dem till vapen och försöker utnyttja dessa problem strax efter publiceringen av varje CPU-version.

Obs! Oracle rekommenderar att CPU:erna används som primär metod för att införa säkerhetskorrigeringar för alla berörda produkter, eftersom dessa publiceras oftare än korrigeringsuppsättningar och nya produktutgåvor.

CPU-dokumentation

Varje CPU innehåller ett övergripande vägledningsdokument. Dokumentet anger berörda produkter och innehåller en riskmatris för varje produktsvit.

Riskmatriser

Riskmatriserna innehåller information som hjälper kunderna att bedöma effekten av säkerhetsbristerna i deras specifika miljö. Matriserna kan användas för att identifiera vilka system som berörs mest, så att de kan åtgärdas först. Varje ny säkerhetsbrist som åtgärdas i en CPU beskrivs på raden för den berörda produkten i riskmatrisen.

CVSS (Common Vulnerability Scoring System)

I oktober 2006 övergick Oracle från en egenutvecklad metod till CVSS (Common Vulnerability Scoring System) för att indikera säkerhetsbristernas relativa allvarlighetsgrad i riskmatriserna. På FIRST:s webbplats beskrivs CVSS som ett poängsystem "utformat för att tillhandahålla öppna och vedertagna allvarlighetsklassningar vid säkerhetsbrister i programvara". CVSS är en standardiserad metod för att bedöma allvarlighetsgraden vid sårbarheter. För varje sårbarhet som åtgärdas i den senaste CPU:n visar vi CVSS-mätvärden som anger under vilka förhållanden och med vilken lätthet sårbarheten kan utnyttjas, samt konsekvenserna inom sekretess-, integritets- och tillgänglighetsaspekterna för det drabbade systemet. CVSS bygger på en formel som räknar om denna information till en baspoäng mellan 0,0 och 10,0 där 10,0 är den allvarligaste sårbarhetsgraden. Riskmatriserna är ordnade utifrån CVSS-baspoängen med den allvarligaste sårbarheten överst. Oracle införde version 3.0 av CVSS-standarden i april 2016 och det är den versionen som används i dag. På sidan om Oracles användning av CVSS (Common Vulnerability Scoring System) beskrivs i detalj hur CVSS-poängen tillämpas i Oracles riskbedömningar.

CVE (Common Vulnerabilities and Exposures)

Oracle använder CVE-nummer (Common Vulnerabilities and Exposures) för att identifiera sårbarheterna i riskmatriserna i CPU- och Security Alert-dokumenten. CVE-numren är unika identifierare för publicerad information om sårbarheter. CVE-programmet sponsras av myndigheten för cybersäkerhet och kommunikation på USA:s department för inrikes säkerhet och administreras av MITRE Corporation. Oracle är en CNA (CVE Numbering Authority), det vill säga det företag som kan utfärda CVE-nummer för sårbarheter i våra produkter. Observera att CVE-numrens ordning i Oracles vägledningsdokument inte alltid motsvarar datumen då motsvarande sårbarheter identifierades. CVE-numren tilldelas med andra ord inte utifrån identifieringsdatumen för de sårbarheter som åtgärdas i dokumenten. Anledningen är att Oracle och andra CNA:er regelbundet får uppsättningar med CVE-nummer från MITRE och därför inte behöver begära nya CVE-nummer varje gång en säkerhetsbrist identifieras. Oracle tilldelar sårbarheter ett sekventiellt CVE-nummer hämtat från uppsättningen från MITRE cirka tre till fyra veckor innan korrigeringen publiceras i nästa CPU.

Sammanfattning för ledning

För att hjälpa företagen att snabbt bedöma konsekvenserna av potentiella säkerhetsproblem som åtgärdas i CPU:erna tillhandahåller Oracle en översikt över säkerhetsbristerna i alla produkter som omfattas av CPU:n. Sammanfattningen innehåller en beskrivning i klartext av de sårbarheter som ingår i CPU:n.

Meddelande före CPU-publicering (Pre-Release Announcement)

Oracle publicerar en sammanfattning av CPU-dokumentationen torsdagen före CPU:ns utgivningsdatum. Sammanfattningen går under namnet Critical Patch Update Pre-Release Announcement och innehåller avancerad information om den kommande CPU:n:

  • namn och versionnummer på de Oracle-produkter som berörs av nya sårbarheter som åtgärdas i CPU:n
  • antal säkerhetskorrigeringar för varje produktsvit
  • högsta CVSS-baspoäng för varje produktsvit
  • eventuell övrig information som kan underlätta införandet av CPU:n i företagets miljö.

Oracle säkerställer att varje Pre-Release Announcement är så korrekt som möjligt vid tiden för publicering, men det faktiska innehållet i CPU:n kan komma att ändras efter publiceringen av motsvarande Pre-Release Announcement. Vägledningsdokumentet till CPU:n ska därför betraktas som den enda korrekta beskrivningen av det faktiska innehållet i CPU:n.