Oracle 重要补丁更新建议 — 2008 年 4 月

描述

重要补丁更新是针对多个安全漏洞的补丁集合。它还包含这些安全补丁因依赖关系而需要的非安全修复程序。重要补丁更新是累积式的(除以下注明外),但是每个公告只描述自上一个重要补丁更新以来添加的安全修复程序。因此,要了解有关以前累积的安全修复程序的信息,应该查看以前的重要补丁更新公告。请参见重要补丁更新和安全警报,以获得有关 Oracle 安全性建议的信息。

考虑到成功攻击所带来的威胁,Oracle 强烈建议用户尽快应用修复程序。该重要补丁更新包含涉及所有产品的 41 个新安全修复程序。

受支持的产品和受影响的组件

该重要补丁更新解决的安全漏洞将影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在产品版本后面的 [方括号] 中。请单击 [方括号] 或可用补丁表中的链接,查看这些补丁的文档。

Oracle 配置管理器 (OCM) 包含在该重要补丁更新中。OCM 使 Oracle 能够向我们的客户提供卓越的主动支持。有关详情,请访问 http://www.oracle.com/technetwork/cn/testcontent/ocm-082546-zhs.html

 

类别 I

首选支持或扩展支持(位于 Oracle 生命周期策略下)中的产品版本:

• Oracle 数据库 11g,版本 11.1.0.6     [ 数据库 ]
• Oracle 数据库 10g 第 2 版,版本 10.2.0.2、10.2.0.3     [ 数据库 ]
• Oracle 数据库 10g,版本 10.1.0.5     [ 数据库 ]
• Oracle 数据库 9i 第 2 版,版本 9.2.0.8、9.2.0.8DV     [ 数据库 ]
• Oracle 应用服务器 10g 第 3 版 (10.1.3),版本 10.1.3.1.0、10.1.3.3.0     [ 应用服务器 ]
• Oracle 应用服务器 10g 第 2 版 (10.1.2),版本 10.1.2.0.2、10.1.2.1.0、10.1.2.2.0     [ 应用服务器 ]
• Oracle 应用服务器 10g (9.0.4),版本 9.0.4.3     [ 应用服务器 ]
• Oracle 协作套件 10g,版本 10.1.2     [ 协作套件 ]
• Oracle 电子商务套件第 12 版,版本 12.0.4     [ 电子商务套件 ]
• Oracle 电子商务套件第 11i 版,版本 11.5.10.2     [ 电子商务套件 ]
• Oracle PeopleSoft Enterprise PeopleTools 版本 8.22.19、8.48.16、8.49.09     [ PeopleSoft/JDE ]
• Oracle PeopleSoft Enterprise HCM 版本 8.8 SP1、8.9、9.0     [ PeopleSoft/JDE ]
• Oracle Siebel SimBuilder 版本 7.8.2、7.8.5     [ Siebel ]

类别 II

与类别 I 中所列产品捆绑在一起的产品和组件。
该类别中的产品不受该重要补丁更新所包含的修复程序的影响。

类别 III

单独安装不受支持但与类别 I 中所列产品一同安装可获支持的产品:

• Oracle 数据库 9i,版本 9.0.1.5 FIPS+     [ 应用服务器 ]
• Oracle 应用服务器 9i 第 1 版,版本 1.0.2.2     [ 电子商务套件 ]

类别 III 中的产品只有在作为类别 I 中产品的一部分进行安装、并完全通过了受支持的配置和环境测试后,相应的补丁才可用。请参阅每种产品的文档,以了解有关补丁的支持与可用性的具体细节。


可用补丁表与风险表

更新中的 Oracle 数据库、Oracle 应用服务器、Oracle 企业管理器网格控制、Oracle 电子商务套件应用程序(仅第 12 版)、JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft Enterprise Portal Applications、PeopleSoft Enterprise PeopleTools 及 Siebel Enterprise 补丁均是累积式的;重要补丁更新中包含的任何产品补丁都包含之前的重要补丁更新中针对该产品的修复程序。

Oracle 电子商务套件应用程序 11i 版的补丁不是累积式的,因此 Oracle 电子商务套件应用程序客户如果要应用先前的安全性修复程序,应到之前的重要补丁更新中查找。Oracle 协作套件补丁是累积式的,它包括在 2007 年 4 月的重要补丁更新中提供的修复程序。从 2007 年 7 月的重要补丁更新开始,Oracle 协作套件安全修复程序将使用一次性补丁基础架构提供,Oracle 通常使用该基础架构为客户提供单个的错误修复程序。

对于所管理的每个 Oracle 产品,请在文档中查阅下表中提到的可用补丁信息和安装说明。有关与该重要补丁更新相关的 Oracle 产品文档概述,请参阅 2008 年 4 月 Oracle 重要补丁更新文档概述 MetaLink 说明 558178.1

产品 风险表 可用补丁和安装信息
Oracle 数据库 附录 A — Oracle 数据库风险表 2008 年 4 月 的重要补丁更新中针对 Oracle 数据库和融合中间件产品的可用信息,MetaLink 说明 552248.1
Oracle 应用服务器 附录 B — Oracle 应用服务器风险表 2008 年 4 月 的重要补丁更新中针对 Oracle 数据库和融合中间件产品的可用信息,MetaLink 说明 552248.1
Oracle 协作套件 附录 C — Oracle 协作套件风险表 2008 年 4 月 的重要补丁更新中针对 Oracle 数据库和融合中间件产品的可用信息,MetaLink 说明 552248.1
Oracle 电子商务套件和应用程序 附录 D — Oracle 电子商务套件和应用程序风险表 电子商务套件重要补丁更新注意事项,MetaLink 说明 557157.1
Oracle 企业管理器 附录 E — 企业管理器风险表 2008 年 4 月 的重要补丁更新中针对 Oracle 数据库和融合中间件产品的可用信息,MetaLink 说明 552248.1
Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 附录 F — Oracle PeopleSoft 和 JD Edwards Applications 风险表 Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne Advisory
Oracle Siebel Enterprise 附录 G — Oracle Siebel Enterprise 风险表 Oracle Siebel Enterprise 支持


 

风险表内容



风险表只列出与该公告有关的补丁新修复的安全漏洞。之前的安全性修复程序的风险表包含在之前的重要补丁更新公告中。

该重要补丁更新提出的几个漏洞影响着多个产品。同一个漏洞在所有风险表中显示时使用相同的 漏洞号斜体 表明其他产品领域中包含的代码中的漏洞。

安全漏洞使用 CVSS 2.0 版进行评估(请参阅 Oracle CVSS 评估)。Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及成功利用的可能结果的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析其自己的风险。出于策略方面的原因,Oracle 不会透露有关可能会导致漏洞被成功利用的利用条件或结果的详细信息。Oracle 不提供除 CPU 或安全警报通知、可用补丁表、自述文件和常见问题解答所提供信息以外的其他具体漏洞信息。Oracle 不向个别客户提供有关 CPU 或安全警报的预先通知。最后,Oracle 不会针对产品漏洞发布可利用的入侵代码或“验证性”代码。

变通方法

考虑到成功攻击所带来的威胁,Oracle 强烈建议用户尽快应用修复程序。根据您的环境,可以通过限制攻击所需的网络协议来降低成功攻击的风险。对于需要特定权限或者需要访问特定程序包的攻击,删除无特权用户的权限或者使其无法访问这些程序包可能有助于降低成功攻击的风险。这两种方法都有可能损害应用程序功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。


不受支持的产品和不受支持的版本

不受支持的产品和版本没有测试过是否存在该重要补丁更新提出的安全漏洞。但是,早期的受影响版本的补丁集也可能会受这些安全漏洞的影响。

不再为生命周期支持策略的首选支持或扩展支持阶段中不再涵盖的产品版本提供重要补丁更新补丁。我们建议客户升级至最新的受支持 Oracle 产品版本,以获取补丁。

扩展支持阶段: 已购买生命周期支持策略下的扩展支持的客户可以使用重要补丁更新补丁。客户必须具有有效的扩展支持服务合同,才能在扩展支持阶段下载重要补丁更新补丁。更新通过持续支持来支持的产品或更新任何不受支持的产品无需下载重要补丁更新补丁。

受支持的数据库、融合中间件和协作套件产品根据软件错误更正支持策略(参见 MetaLink 说明 209768.1)进行修补。有关支持策略和支持阶段的详细指南,请查看技术支持策略

Oracle 数据库和 Oracle 应用服务器的 应请求 模型

Oracle 将仅为客户要针对下一个重要补丁更新(基于历史数据)下载的平台/版本组合预先创建补丁。只要客户要求,我们将为以前固定的 Oracle 数据库和 Oracle 应用服务器的平台/版本组合创建补丁。未来版本和补丁集中将继续包含漏洞修复程序。

有关下一个重要补丁更新支持的产品、版本和平台以及“应请求”补丁的请求流程的其他详细信息,请参阅 2008 年 4 月 的重要补丁更新中针对 Oracle 数据库和融合中间件产品的可用信息MetaLink 说明 552248.1)的第 4.10 节(针对下一版 CPU 的计划补丁)。

致谢

该重要补丁更新提出的安全漏洞由以下人员或组织发现并向 Oracle 报告:Argeniss 的 Cesar Cerrudo;Application Security, Inc. 的 Esteban Martinez Fayo;iDefense VCP 的 Joxean Koret;Red Database Security 的 Alexander Kornbrust;Integrigy 的 Stephen Kost;inTellectPro 的 Ali Kumcu;Imperva, Inc. 的 Amichai Shulman;Portcullis Computer Security Limited 的 Sumit Siddharth,以及 Paul M. Wright(以前任职于 NGS Software)。

重要补丁更新日程表

重要补丁更新在距 1 月、4 月、7 月和 10 月的第 15 日最近的星期二发布。接下来的四个日期为:

  • 2008 年 7 月 15 日
  • 2008 年 10 月 14 日
  • 2009 年 1 月 13 日
  • 2009 年 4 月 14 日

参考

修改历史


2008 年 4 月 20 日 PSE02 和 PSE03 访问向量从“本地”更改为“网络”。
2008 年 4 月 16 日 “升级 Application Express”部分中的版本号更改为 3.1。还更改了 Application Express 风险表中的列
2008 年 4 月 15 日 初始版本



附录 A — Oracle 数据库

Oracle 数据库执行概要

该重要补丁更新总共包含 17 个适用于 Oracle 数据库产品的新安全修复程序,分类如下:

  • 15 个针对 Oracle 数据库的新安全修复程序。其中 1 个漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。没有适用于仅具有 Oracle 数据库客户端的安装(即,没有安装 Oracle 数据库的安装)的新安全性修复程序。
    • 1 个针对 Oracle 安全企业搜索的新安全修复程序是一个独立产品,它不随 Oracle 数据库一同安装。
  • 2 个针对 Oracle Application Express(以前称为 HTML DB)的新安全性修复程序。其中 1 个漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。
  • 以下产品没有新的安全修复程序:
    • Oracle Audit Vault,它是一个独立产品,不随 Oracle 数据库一同安装。
    • Oracle HTTP Server 默认情况下 Oracle 数据库 9i 第 2 版一同安装。对于 Oracle 数据库版本 10g 及以上,Oracle HTTP Server 需要单独安装(位于随附 CD 中),不会随数据库一同安装。如果尚未应用先前的补丁,Oracle 建议将该重要补丁更新应用于受先前的重要补丁更新中修复的漏洞所影响的 Oracle HTTP Server 安装。如果没有安装 Oracle HTTP Server,该软件不会出现,并且不需要 Oracle HTTP Server 补丁。


Oracle 数据库风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
EM01 Oracle 企业管理器 本地 6.6 本地 一次性 9.0.1.5+  
DB01 高级队列 Oracle Net SYS.DBMS_AQ 上的执行权限 5.5 网络 一次性 部分 部分 9.0.1.5+、9.2.0.8、9.2.0.8DV、10.1.0.5 和 10.2.0.3 参见注释 1
DB02 更改数据捕获 Oracle Net DBMS_CDC_UTILITY 上的执行权限 5.5 网络 一次性 部分+ 部分+ 10.1.0.5, 10.2.0.3, 11.1.0.6  
DB03 Core RDBMS Oracle Net 创建会话 5.5 网络 一次性 部分+ 部分+ 9.0.1.5+、9.2.0.8、9.2.0.8DV、10.1.0.5 和 10.2.0.3 参见注释 1
DB04 Oracle 安全企业搜索或 Ultrasearch Oracle Net WKSYS.WK_QRY 或 WKSYS.WK_QUERYAPI 上的执行权限 5.5 网络 一次性 部分+ 部分+ 9.0.1.5+、9.2.0.8、9.2.0.8DV、10.1.0.5 和 10.2.0.3 参见注释 1
DB05 Oracle Spatial Oracle Net SDO_UTIL 上的执行权限 5.5 网络 一次性 部分 部分 10.1.0.5, 10.2.0.3  
DB06 Oracle Spatial Oracle Net SDO_GEOM 上的执行权限 5.5 网络 一次性 部分 部分 9.0.1.5+、9.2.0.8、9.2.0.8DV、10.1.0.5 和 10.2.0.3 参见注释 1
DB07 Oracle Spatial Oracle Net SDO_IDX 上的执行权限 5.5 网络 一次性 部分 部分 9.0.1.5+、9.2.0.8、9.2.0.8DV、10.1.0.5、10.2.0.3 和 11.1.0.6 参见注释 1
DB08 身份验证 Oracle Net 5.0 网络 部分 11.1.0.6  
DB09 Oracle 网络服务 本地 4.6 本地 部分+ 部分+ 部分+ 9.2.0.8, 10.1.0.5, 10.2.0.3 参见注释 2
DB10 Core RDBMS Oracle Net 创建会话 4.0 网络 一次性 部分+ 9.0.1.5+、9.2.0.8、9.2.0.8DV、10.1.0.5、10.2.0.3 和 11.1.0.6 参见注释 1
DB11 数据泵 Oracle Net KUPF$FILE_INT 上的执行权限 4.0 网络 一次性 部分 9.2.0.8, 10.1.0.5, 10.2.0.3, 11.1.0.6 参见注释 2
DB12 Export Oracle Net 4.0 网络 一次性 部分+ 9.0.1.5+、9.2.0.8、9.2.0.8DV、10.1.0.5 和 10.2.0.3 参见注释 1
DB13 Query Optimizer Oracle Net DBMS_STATS 上的执行权限 4.0 网络 一次性 部分 9.0.1.5+、9.2.0.8、9.2.0.8DV、10.1.0.5 和 10.2.0.3 参见注释 1
DB14 审计 Oracle Net 可以在表中执行插入操作,以便进行细粒度审计 3.5 网络 一次性 部分 10.1.0.5, 10.2.0.3  
DB15 高级队列 Oracle Net SYS.DBMS_AQJMS_INTERNAL 上的执行权限 2.1 网络 一次性 部分 9.0.1.5+, 10.1.0.5 参见注释 1

注:

  1. 9.0.1.5+ 指的是 Oracle 数据库 9i 版本 9.0.1.5 FIPS+,该版本只能与 Oracle 应用服务器 10g (9.0.4) 版本 9.0.4.3 结合使用。
  2. 该漏洞仅影响 Windows 平台。


仅具有 Oracle 数据库客户端的安装

没有影响仅具有 Oracle 数据库客户端的安装(没有安装 Oracle 数据库的安装)的新漏洞。


Oracle 安全企业搜索

Oracle 安全企业搜索 10g 是一个独立的产品,它能够对整个公司的企业信息资产进行搜索。如果您没有安装 Oracle 安全企业搜索产品,它 会出现在系统上,也不需要进一步的操作。

上述风险表中列出的安全漏洞已经在 Oracle 安全企业搜索 10g 版本 10.1.8.3 中得到了修复。使用之前的安全企业搜索版本的客户应该升级到 10.1.8.3 版或更高版本。您可以从联机文档中获得升级 Oracle 安全企业搜索的说明。本信息以及要安装的软件引用自 Oracle 技术网安全企业搜索页面。

Oracle 安全企业搜索 10g 包括 Oracle 数据库 10g 版本 10.1.0.5,而且由于影响该数据库版本的漏洞可能影响 Oracle 安全企业搜索,因此 Oracle 建议客户将 2008 年 4 月的重要补丁更新应用到嵌入式数据库。


Oracle Audit Vault

Oracle Audit Vault 10g 是一个从多个系统收集并分析审计数据的独立产品。如果您没有安装 Oracle Audit Vault 产品,它 不会出现在系统上,也不需要进一步的操作。

Oracle Audit Vault 没有在这个或以前的重要补丁更新公告中列出的安全漏洞。使用之前的 Audit Vault 版本的客户应该升级到 10.2.2.1 版或更高版本。有关 Oracle Audit Vault 的信息可以在联机文档中找到。本信息以及要安装的 Audit Vault 软件引用自 Oracle 技术网的 Audit Vault 页面。

Oracle Audit Vault 10g 包括 Oracle 数据库 10g 版本 10.2.0.3,影响该数据库版本的漏洞可能会影响 Oracle Audit Vault。Oracle 建议 所有 Oracle Audit Vault 客户先查阅 2008 年 4 月 的重要补丁更新中针对 Oracle 数据库和融合中间件产品的可用信息,MetaLink 说明 552248.1,然后将 2008 年 4 月的重要补丁更新应用到嵌入式数据库。



Oracle Application Express 风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
APEX01 Oracle Application Express Oracle Net flows_030000.wwv_execute_immediate 上的执行权限 5.5 网络 一次性 部分+ 部分+ 3.0.1  
APEX02 Oracle Application Express HTTP 4.0 网络 部分 部分 3.0.1  


Oracle Application Express 概述

Oracle Application Express 是一个适用于 Oracle 数据库的快速 Web 应用程序开发工具。如果没有从 Oracle 数据库 CD 集提供的附带 CD 或从 Oracle 网站下载的程序包单独安装 Oracle Application Express,则该软件不会出现在系统上且无需进一步操作。

要检查系统中是否存在 Application Express,以 SYS 身份从 SQL 提示符运行以下命令:
select username from dba_users where username in ('FLOWS_010500','FLOWS_010600','FLOWS_020000','FLOWS_020200',
'FLOWS_030000', 'FLOWS_030100');

如果结果是“no rows selected”,则没有安装该产品版本,无需进一步操作。其他输出表明安装了 Oracle Application Express,即使目前没有使用该软件。

升级 Oracle Application Express

上述风险表中列出的 Oracle Application Express 安全性漏洞已经在 3.1 版中得到了修复。所有以前的版本都应直接升级为 3.1 版或更高版本。有关如何升级软件以安装最新版本的 Oracle Application Express 的说明,可在以下网址找到:
http://www.oracle.com/technetwork/cn/devtools/apex/download-096178-zhs.html




附录 B — Oracle 应用服务器

Oracle 应用服务器执行概要

该重要补丁更新包含 3 个适用于 Oracle 应用服务器的新安全修复程序。这 3 个漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。其中 1 个安全修复程序(包括 9.3 的 CVSS)适用于仅具有客户端的安装,仅影响 Oracle 应用服务器的客户端部分。

 

与 Oracle 数据库捆绑在一起的 Oracle 应用服务器产品受 Oracle 数据库部分中所列的漏洞影响。本部分并未对其作进一步讨论,也没有将它们列在 Oracle 应用服务器风险表中。



Oracle 应用服务器风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
AS01 Oracle Jinitiator HTTP 9.3 网络 1.3.1.14 参见注释 1
EM01 Oracle 企业管理器 本地 6.6 本地 一次性 1.0.2.2  
DB04 Oracle 安全企业搜索或 Ultrasearch Oracle Net WKSYS.WK_QRY 或 WKSYS.WK_QUERYAPI 上的执行权限 5.5 网络 一次性 部分+ 部分+ 9.0.4.3, 10.1.2.2  
AS02 Oracle 动态监视服务 HTTP 4.3 网络 部分 9.0.4.3, 10.1.2.2, 10.1.3.3  
AS03 Oracle Portal HTTP 4.3 网络 部分 9.0.4.3  

注:

  1. 该漏洞的影响仅限于 Jinitiator;不会影响 Oracle 应用服务器。Oracle Jinitiator 1.3.1.15 版及更高版本不受影响。

仅具有 Oracle 应用服务器客户端的安装

AS01 将影响仅具有 Oracle 应用服务器客户端的安装。




附录 C — Oracle 协作套件

Oracle 协作套件执行概要

该重要补丁更新中没有 Oracle 协作套件特定的新修复程序。

该重要补丁更新不包含任何针对 Oracle 协作套件中代码内没有的 Oracle 应用服务器漏洞的新修复程序。由于具有 Oracle 协作套件自定义文件,因此还需执行 MetaLink 说明 445172.1 中的步骤才能应用 2008 年 4 月的重要补丁更新。

Oracle 协作套件绑定了 Oracle 数据库。 Oracle 数据库部分中的 Oracle 数据库部分中列出的所有安全性修复程序都适用。该公告中引用的 Oracle 协作套件文档列出了 Oracle 协作套件实例上应该安装用来修复这些 Oracle 数据库问题的补丁。



Oracle 协作套件风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
DB04 Oracle 安全企业搜索或 Ultrasearch Oracle Net WKSYS.WK_QRY 或 WKSYS.WK_QUERYAPI 上的执行权限 5.5 网络 一次性 部分+ 部分+ 10.1.2  



附录 D — Oracle 电子商务套件和应用程序

Oracle 电子商务套件和应用程序执行概要

该重要补丁更新包含 11 个适用于 Oracle 电子商务套件的新安全修复程序。其中 7 个漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。这些安全漏洞不会影响仅具有 Oracle 电子商务套件客户端的安装。

Oracle 电子商务套件 11i 包括 Oracle9i 应用服务器 1.0.2.2 版代码,其中包括 Oracle Reports Developer。该重要补丁更新中修复的任何 Oracle 应用服务器漏洞都不会影响该版本。

Oracle 电子商务套件产品包括一个受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库。Oracle 电子商务套件产品暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库漏洞没有列在 Oracle 电子商务套件风险表中,但是由于影响该数据库版本的漏洞可能会影响 Oracle 电子商务套件产品,因此 Oracle 建议用户将 2008 年 4 月的重要补丁更新应用到嵌入式数据库。

没有特定于 Oracle Life Sciences Applications(先前称为 Oracle Pharmaceutical Applications)的新安全修复程序。但是,Oracle Life Sciences Applications 包括需要进行修补的 Oracle 应用服务器组件和 Oracle 数据库软件。Oracle Life Sciences Applications 暴露在危险中的程度取决于所使用的 Oracle 应用服务器和 Oracle 数据库的版本。Oracle 建议客户将 2008 年 4 月的重要补丁更新应用到 Oracle Life Sciences Applications 中包括的 Oracle 数据库和 Oracle 应用服务器。请参阅 Oracle 应用服务器Oracle 数据库部分,以了解更多信息。Oracle Life Sciences Applications 客户应参阅 MetaLink 说明 557159.1,以了解有关如何将重要补丁更新应用到 Oracle 数据库和应用服务器组件的详细信息。



Oracle 电子商务套件风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
APP01 Oracle Advanced Pricing HTTP 5.0 网络 部分 11.5.10.2  
APP02 Oracle Advanced Pricing HTTP 5.0 网络 部分 11.5.10.2, 12.0.4  
APP03 Oracle Advanced Pricing HTTP Yes 5.0 网络 部分 11.5.10.2, 12.0.4  
APP04 Oracle Application Object Library HTTP 5.0 网络 部分+ 11.5.10.2, 12.0.4  
APP05 Oracle Applications Framework HTTP 5.0 网络 部分 11.5.10.2  
APP06 Oracle Applications Manager HTTP 5.0 网络 部分 11.5.10.2, 12.0.4  
APP07 Oracle Application Object Library HTTP 4.3 网络 部分 11.5.10.2, 12.0.4  
APP08 Oracle Applications Technology Stack HTTP 有效会话 4.0 网络 一次性 部分 11.5.10.2, 12.0.4  
APP09 Oracle Advanced Pricing HTTP 有效会话 3.5 网络 一次性 部分 11.5.10.2, 12.0.4  
APP10 Oracle Advanced Pricing HTTP 有效会话 3.5 网络 一次性 部分 11.5.10.2  
APP11 Oracle Application Object Library HTTP 有效会话 3.5 网络 一次性 部分 11.5.10.2, 12.0.4  




附录 E — Oracle 企业管理器

Oracle 企业管理器执行概要

该重要补丁更新包含 1 个适用于 Oracle 企业管理器的新安全修复程序。该漏洞必须经过身份验证才可远程利用,即没有用户名和口令就通过网络利用该漏洞。

Oracle 企业管理器 10g 网格控制包含 Oracle 数据库和 Oracle 应用服务器组件,这些组件受 Oracle 数据库Oracle 应用服务器部分中所列漏洞的影响。Oracle 企业管理器特定实例的暴露程度取决于所使用的 Oracle 数据库和 Oracle 应用服务器版本。Oracle 建议客户将 2008 年 4 月的重要补丁更新应用到嵌入式 Oracle 数据库和 Oracle 应用服务器。

Oracle 企业管理器 10g 网格控制之前的 Oracle 企业管理器版本包含 Oracle 数据库组件,这些组件受 Oracle 数据库部分中所列漏洞的影响。Oracle 企业管理器特定实例的暴露程度取决于所使用的 Oracle 数据库版本。Oracle 建议客户将 2008 年 4 月的重要补丁更新应用到嵌入式 Oracle 数据库。



Oracle 企业管理器风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
EM01 Oracle 企业管理器 本地 6.6 本地 一次性 参见说明。 参见注释 1

注:

  1. 该修复程序包括在 AS 1.0.2.2 之后的版本和数据库 9.0.1.5 之后的版本中。



附录 F — Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne

Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 执行概要

该重要补丁更新包含 3 个适用于 PeopleSoft-JDEdwards 套件的新安全修复程序。这些漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。

 



Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
PSE02 PeopleSoft HCM Recruiting HTTP(s) 有效会话 5.5 网络 一次性 部分 部分 8.8 SP1  
PSE03 PeopleSoft HCM ePerformance HTTP(s) 有效会话 5.5 网络 一次性 部分+ 部分+ 8.9, 9.0  
PSE01 PeopleSoft PeopleTools HTTP(s) 有效会话 4.0 网络 一次性 部分 8.22.19, 8.48.16, 8.49.09  



附录 G — Oracle Siebel Enterprise

Oracle Siebel Enterprise 执行概要

该重要补丁更新包含 6 个适用于 Oracle Siebel Enterprise 套件的新安全修复程序。其中 3 个漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。

  • 这 6 个安全修复程序均针对 SimBuilder 组件。SimBuilder 是一个独立组件,用于准备和提供培训课程资料。如果您尚未安装 Oracle Siebel SimBuilder,则无需进一步的操作。

 



Oracle Siebel Enterprise 风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
SEBL01 Siebel SimBuilder HTTP 服务器管理员 6.4 网络 部分 部分 7.8.2, 7.8.5  
SEBL02 Siebel SimBuilder HTTP 6.4 网络 部分 部分 7.8.2, 7.8.5  
SEBL03 Siebel SimBuilder HTTP 5.1 网络 部分+ 部分+ 部分+ 7.8.2, 7.8.5  
SEBL04 Siebel SimBuilder HTTP 4.0 网络 一次性 部分 7.8.2, 7.8.5  
SEBL05 Siebel SimBuilder HTTP 1.7 本地 一次性 部分 7.8.2, 7.8.5  
SEBL06 Siebel SimBuilder HTTP 1.7 本地 一次性 部分 7.8.2, 7.8.5  
false ,,,,,,,,,,,,,,,,