Oracle 重要补丁更新公告 — 2008 年 1 月

说明

重要补丁更新是针对多个安全漏洞的补丁集合。它还包含这些安全补丁因依赖关系而需要的非安全修复程序。重要补丁更新是累积式的(除以下注明外),但是每个公告只描述自上一个重要补丁更新以来添加的安全修复程序。因此,要了解有关以前累积的安全修复程序的信息,应该查看以前的重要补丁更新公告。

考虑到成功攻击所带来的威胁,Oracle 强烈建议用户尽快应用修复程序。该重要补丁更新包含涉及所有产品的 26 个新安全修复程序。

受支持的产品和受影响的组件

该重要补丁更新解决的安全漏洞将影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在产品版本后面的 [方括号] 中。请单击 [方括号] 或可用补丁表中的链接,查看这些补丁的文档。

Oracle 配置管理器 (OCM) 包含在该重要补丁更新中。OCM 使 Oracle 能够向我们的客户提供卓越的主动支持。有关详情,请访问 http://www.oracle.com/technetwork/cn/testcontent/ocm-082546-zhs.html

 

类别 I

首选支持或扩展支持(位于 Oracle 生命周期策略下)中的产品版本:

• Oracle 数据库 11g,版本 11.1.0.6     [ 数据库 ]
• Oracle 数据库 10g 第 2 版,版本 10.2.0.2、10.2.0.3     [ 数据库 ]
• Oracle 数据库 10g,版本 10.1.0.5     [ 数据库 ]
• Oracle 数据库 9i 第 2 版,版本 9.2.0.8、9.2.0.8DV     [ 数据库 ]
• Oracle 应用服务器 10g 第 3 版 (10.1.3),版本 10.1.3.0.0、10.1.3.1.0、10.1.3.3.0     [ 应用服务器 ]
• Oracle 应用服务器 10g 第 2 版 (10.1.2),版本 10.1.2.0.2、10.1.2.1.0、10.1.2.2.0     [ 应用服务器 ]
• Oracle 应用服务器 10g (9.0.4),版本 9.0.4.3     [ 应用服务器 ]
• Oracle 协作套件 10g,版本 10.1.2     [ 协作套件 ]
• Oracle 电子商务套件第 12 版,版本 12.0.0 - 12.0.3     [ 电子商务套件 ]
• Oracle 电子商务套件 11i,版本 11.5.9 - 11.5.10 CU2     [ 电子商务套件 ]
• Oracle PeopleSoft Enterprise PeopleTools,版本 8.22、8.48、8.49     [ PeopleSoft/JDE ]

类别 II

与类别 I 中所列产品捆绑在一起的产品和组件。
该类别中的产品不受该重要补丁更新所包含的修复程序的影响。

类别 III

单独安装不受支持但与类别 I 中所列产品一同安装可获支持的产品:

• Oracle 数据库 9i,版本 9.0.1.5 FIPS+     [ 应用服务器 ]
• Oracle 应用服务器 9i 第 1 版,版本 1.0.2.2     [ 电子商务套件 ]

类别 III 中的产品只有在作为类别 I 中产品的一部分进行安装、并完全通过了受支持的配置和环境测试后,相应的补丁才可用。请参阅每种产品的文档,以了解有关补丁的支持与可用性的具体细节。

类别 IV

只在指定平台上受支持的产品。请查阅其他文档以获得详细信息。
该类别中的产品不受该重要补丁更新所包含的修复程序的影响。


可用补丁表与风险表

更新中的 Oracle 数据库、Oracle 应用服务器、Oracle 企业管理器网格控制、Oracle 电子商务套件应用程序(仅第 12 版)、JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft Enterprise Portal Applications 及 PeopleSoft Enterprise PeopleTools 补丁均是累积式的;重要补丁更新中包含的任何产品补丁都包含之前的重要补丁更新中针对该产品的修复程序。

Oracle 电子商务套件应用程序 11i 版的补丁不是累积式的,因此 Oracle 电子商务套件应用程序客户如果要应用先前的安全性修复程序,应到之前的重要补丁更新中查找。Oracle 协作套件补丁是累积式的,它包括在 2007 年 4 月的重要补丁更新中提供的修复程序。从 2007 年 7 月的重要补丁更新开始,Oracle 协作套件安全修复程序将使用一次性补丁基础架构提供,Oracle 通常使用该基础架构为客户提供单个的错误修复程序。

对于所管理的每个 Oracle 产品,请在文档中查阅下表中提到的可用补丁信息和安装说明。有关该重要补丁更新的 Oracle 产品文档概述,请参阅 2008 年 1 月 Oracle 重要补丁更新文档概述 MetaLink 说明 467880.1

产品 风险表 可用补丁和安装信息
Oracle 数据库 附录 A — Oracle 数据库风险表 针对 Oracle 服务器和中间件产品的可用重要补丁更新,MetaLink 说明 466757.1
Oracle 应用服务器 附录 B — Oracle 应用服务器风险表 针对 Oracle 服务器和中间件产品的可用重要补丁更新,MetaLink 说明 466757.1
Oracle 协作套件 附录 C — Oracle 协作套件风险表 针对 Oracle 服务器和中间件产品的可用重要补丁更新,MetaLink 说明 466757.1
Oracle 电子商务套件和应用程序 附录 D — Oracle 电子商务套件和应用程序风险表 电子商务套件重要补丁更新注意事项,MetaLink 说明 467742.1
Oracle 企业管理器 附录 E — 企业管理器风险表 针对 Oracle 服务器和中间件产品的可用重要补丁更新,MetaLink 说明 466757.1
Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 附录 F — Oracle PeopleSoft 和 JD Edwards Applications 风险表 Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne Advisory


 

风险表内容



风险表只列出与该公告有关的补丁新修复的安全漏洞。之前的安全性修复程序的风险表包含在之前的重要补丁更新公告中。

该重要补丁更新提出的几个漏洞影响着多个产品。同一个漏洞在所有风险表中显示时使用相同的 漏洞号斜体 表明其他产品领域中包含的代码中的漏洞。

安全漏洞使用 CVSS 2.0 版进行评估(请参阅 MetaLink 说明 394487.1)。Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及成功利用的可能结果的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析其自己的风险。出于策略方面的原因,Oracle 不会透露有关可能会导致漏洞被成功利用的利用条件或结果的详细信息。Oracle 不提供除 CPU 或安全警报通知、可用补丁表、自述文件和常见问题解答所提供信息以外的其他具体漏洞信息。Oracle 不向个别客户提供有关 CPU 或安全警报的预先通知。最后,Oracle 不会针对产品漏洞发布可利用的入侵代码或“验证性”代码。

较之以往的公告,2008 年 1 月重要补丁更新公告中的风险表略有改动。我们删除了多余的“最早的支持版本”列,增加了“附注”列,以提供在该表正文内容中无法添加的额外信息。有关“风险表”定义的更多信息,请参阅 MetaLink 说明 394486.1

变通方法

考虑到成功攻击所带来的威胁,Oracle 强烈建议用户尽快应用修复程序。根据您的环境,可以通过限制攻击所需的网络协议来降低成功攻击的风险。对于需要特定权限或者需要访问特定程序包的攻击,删除无特权用户的权限或者使其无法访问这些程序包可能有助于降低成功攻击的风险。这两种方法都有可能损害应用程序功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。


不受支持的产品和不受支持的版本

不受支持的产品和版本没有测试过是否存在该重要补丁更新提出的安全漏洞。但是,早期的受影响版本的补丁集也可能会受这些安全漏洞的影响。

不再为生命周期支持策略的首选支持或扩展支持阶段中不再涵盖的产品版本提供重要补丁更新补丁。我们建议客户升级至最新的受支持 Oracle 产品版本,以获取补丁。

扩展支持阶段: 已购买生命周期支持策略下的扩展支持的客户可以使用重要补丁更新补丁。客户必须具有有效的扩展支持服务合同,才能在扩展支持阶段下载重要补丁更新补丁。更新通过持续支持来支持的产品或更新任何不受支持的产品无需下载重要补丁更新补丁。

受支持的产品根据软件错误更正支持策略(参见 MetaLink 说明 209768.1)进行修补。有关支持策略和支持阶段的详细指南,请查看技术支持策略

Oracle 数据库和 Oracle 应用服务器的 应请求 模式通告

Oracle 将仅为客户要针对下一个重要补丁更新(基于历史数据)下载的平台/版本组合预先创建补丁。只要客户要求,我们将为以前固定的 Oracle 数据库和 Oracle 应用服务器的平台/版本组合创建补丁。未来版本和补丁集中将继续包含漏洞修复程序。

有关下一个重要补丁更新支持的产品、版本和平台以及“应请求”补丁的请求流程的其他详细信息,请参阅 针对 Oracle 服务器和中间件产品的可用重要补丁更新信息MetaLink 说明 466757.1)的第 4.10 节(针对下一版 CPU 的计划补丁)。

致谢

该重要补丁更新提出的安全漏洞由以下人员或组织发现并向 Oracle 报告:CERT/CC、Application Security, Inc. 的 Esteban Martinez Fayo、Pete Finnigan、Joxean Koret、Red Database Security 的 Alexander Kornbrust、inTellectPro 的 Ali Kumcu、NGS Software 的 David Litch、CYBSEC S.A. 的 Mariano Nunez Di Croce 以及 Digital Security 的 Alexandr Polyakov。

特别感谢 Application Security, Inc. 的 Esteban Martinez Fayo,他帮助确保了这一重要补丁更新的最高质量。

重要补丁更新日程表

重要补丁更新在距 1 月、4 月、7 月和 10 月的第 15 日最近的星期二发布。接下来的四个日期为:

  • 2008 年 4 月 15 日
  • 2008 年 7 月 15 日
  • 2008 年 10 月 14 日
  • 2009 年 1 月 13 日

参考

修改历史

2008 年 1 月 15 日 初始版本



附录 A — Oracle 数据库

Oracle 数据库执行概要

该重要补丁更新总共包含 8 个适用于 Oracle 数据库产品的新安全修复程序,分类如下:

  • 8 个针对 Oracle 数据库的新安全修复程序。其中不存在无需身份验证即可远程利用的数据库漏洞(即,可以通过网络利用这些漏洞而无需用户名和口令)。没有适用于仅具有 Oracle 数据库客户端的安装(即,没有安装 Oracle 数据库的安装)的新安全性修复程序。
  • 以下产品没有新的安全修复程序:
    • Oracle 安全企业搜索,它是一个独立产品, 不随 Oracle 数据库一同安装。
    • Oracle Audit Vault,它是一个独立产品, 不随 Oracle 数据库一同安装。
    • Oracle HTTP Server 默认情况下 Oracle 数据库 9i 第 2 版一同安装。对于 Oracle 数据库版本 10g 及以上,Oracle HTTP Server 需要单独安装(位于随附 CD 中), 不会随数据库一同安装。如果尚未应用先前的补丁,Oracle 建议将该重要补丁更新应用于受先前的重要补丁更新中修复的漏洞所影响的 Oracle HTTP Server 安装。如果没有安装 Oracle HTTP Server,该软件不会出现,并且不需要 Oracle HTTP Server 补丁。
    • Oracle Application Express(之前称为 HTML DB),但 2.2 之前的版本(包括版本 2.2)应该升级到最新版本。Oracle Application Express 是一个可选产品, 不随 Oracle 数据库一同安装。如果尚未安装该软件(一些 Oracle 数据库版本的 Oracle 数据库 CD 集中的附带 CD 上提供了该软件),则该软件不会出现且不需要这些补丁。请参阅 2007 年 7 月重要补丁更新报告的附录 A,以获得更多信息。

Oracle 数据库风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅 394487.1 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
DB01 XML DB Oracle Net 创建会话,创建视图 6.5 网络 一次性 部分+ 部分+ 部分+ 9.2.0.8,
9.2.0.8DV,
10.1.0.5,
10.2.0.3		  
DB02 Advanced Queuing Oracle Net SYS.DBMS_PRVTAQIM 上的执行权限 5.5 网络 一次性 部分 部分 9.0.1.5+,
9.2.0.8,
9.2.0.8DV,
10.1.0.5,
10.2.0.3		 参见注释 1
DB03 Advanced Queuing Oracle Net SYS.DBMS_PRVTAQIP 上的执行权限 5.5 网络 一次性 部分 部分 9.0.1.5+,
10.1.0.5		  
DB04 Oracle Spatial Oracle Net MDSYS.SDO_CATALOG 上的执行权限 5.5 网络 一次性 部分 部分 9.0.1.5+,
9.2.0.8,
9.2.0.8DV,
10.1.0.5,
10.2.0.3		  
DB05 Upgrade/Downgrade Oracle Net 5.5 网络 一次性 部分+ 部分+ 9.2.0.8,
10.1.0.5,
10.2.0.3		 参见注释 2
DB06 Oracle Spatial Oracle Net 创建会话 4.0 网络 一次性 部分 9.0.1.5+,
9.2.0.8,
9.2.0.8DV,
10.1.0.5		  
DB07 Oracle Spatial Oracle Net 创建会话 4.0 网络 一次性 部分 10.1.0.5,
10.2.0.3		  
OCS01 Oracle Ultra Search HTTP 3.0 本地 一次性 部分 部分 9.2.0.8,
10.1.0.5,
10.2.0.3		  
DB08 Core RDBMS Oracle Net 选择任何目录 0.0 网络 一次性 11.1.0.6 参见注释 3

注意:

  1. 9.0.1.5+ 指的是 Oracle 数据库 9i 版本 9.0.1.5 FIPS+,该版本只能与 Oracle 应用服务器 10g (9.0.4) 版本 9.0.4.3 结合使用。
  2. 所列版本都是要 升级到 的版本,并且需要补丁。
  3. 该漏洞仅针对 Linux 平台,其他平台不会受到影响。


仅具有 Oracle 数据库客户端的安装

没有影响仅具有 Oracle 数据库客户端的安装(没有安装 Oracle 数据库的安装)的新漏洞。


Oracle 安全企业搜索

Oracle 安全企业搜索 10g 是一个独立的产品,它能够对整个公司的企业信息资产进行搜索。如果您没有安装 Oracle 安全企业搜索产品,它 会出现在系统上,也不需要进一步的操作。

在前面的重要补丁更新公告中列出的 Oracle 安全企业搜索安全漏洞在 Oracle 安全企业搜索 10g 版本 10.1.8.2 中得到了修复。使用之前的安全企业搜索版本的客户应该升级到 10.1.8.2 版。您可以从联机文档中获得升级 Oracle 安全企业搜索的说明。本信息以及要安装的软件引用自 Oracle 技术网安全企业搜索页面。

Oracle 安全企业搜索 10g 包括 Oracle 数据库 10g 版本 10.1.0.5,影响该数据库版本的漏洞可能会影响 Oracle 安全企业搜索。Oracle 强烈建议 所有 安全企业搜索客户在向嵌入式数据库应用 2008 年 1 月重要补丁更新之前,先查看针对 Oracle 服务器和中间件产品的可用重要补丁更新,MetaLink 说明 466757.1


Oracle Audit Vault

Oracle Audit Vault 10g 是一个从多个系统收集并分析审计数据的独立产品。如果您没有安装 Oracle Audit Vault 产品,它 不会出现在系统上,也不需要进一步的操作。

Oracle Audit Vault 没有在这个或以前的重要补丁更新公告中列出的安全漏洞。使用之前的 Audit Vault 版本的客户应该升级到 10.2.2.1 版。有关 Oracle Audit Vault 的信息可以在联机文档中找到。本信息以及要安装的 Audit Vault 软件引用自 Oracle 技术网的 Audit Vault 页面。

Oracle Audit Vault 10g 包括 Oracle 数据库 10g 版本 10.2.0.3,由于影响该数据库版本的漏洞可能影响 Oracle Audit Vault,因此 Oracle 建议客户将 2008 年 1 月的重要补丁更新应用到嵌入式数据库。


Oracle Application Express(之前称为 Oracle HTML DB)

Oracle Application Express(之前称为 Oracle HTML DB)是一个适用于 Oracle 数据库的快速 Web 应用程序开发工具。如果没有从 Oracle 数据库 CD 集提供的附带 CD 或从 Oracle 网站下载的程序包单独安装 Oracle Application Express,则该软件不会出现在系统上且无需进一步操作。

要检查系统中是否存在 Application Express,以 SYS 身份从 SQL 提示符运行以下命令:
select username from dba_users where username in ('FLOWS_010500','FLOWS_010600','FLOWS_020000','FLOWS_020200','FLOWS_030000');

如果结果是“no rows selected”,则没有安装该产品版本,无需进一步操作。其他输出表明安装了 Oracle Application Express,即使目前没有使用该软件。

以上风险表中没有列出 Oracle Application Express 安全漏洞。以前宣布的 Oracle Application Express 中的安全漏洞在版本 3.0 中得到了修复。所有之前的版本都应直接升级至 3.0.1 版。有关升级的说明以及安装 Oracle Application Express 3.0.1 版的软件,位于以下位置:
http://www.oracle.com/technetwork/cn/devtools/apex/download-096178-zhs.html




附录 B — Oracle 应用服务器

Oracle 应用服务器执行概要

该重要补丁更新包含 6 个适用于 Oracle 应用服务器的新安全修复程序。其中 5 个漏洞无需身份验证即可远程利用,即可以通过网络利用这些漏洞而无需用户名和口令。2 个适用于仅具有客户端的安装(即,没有安装 Oracle 应用服务器的安装)的新的安全性修复程序。两个 CVSS 评分为 9.3 的漏洞不会影响到服务器。

与 Oracle 数据库捆绑在一起的 Oracle 应用服务器产品受 Oracle 数据库部分中所列的漏洞影响。本部分并未对其作进一步讨论,也没有将它们列在 Oracle 应用服务器风险表中。

Oracle 应用服务器风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅 394487.1 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
AS01 Oracle Jinitiator HTTP 9.3 网络 1.3.1.27 参见注释 1
AS02 Oracle Jinitiator HTTP 9.3 网络 1.1.8.26 参见注释 2
AS03 Oracle BPEL Worklist Application HTTP 6.8 网络 部分+ 部分+ 部分+ 10.1.2.2,
10.1.3.3		  
AS04 Oracle Forms HTTP 4.3 网络 部分 10.1.2.2
(10.1.2.1 不会受到影响)		  
AS05 Oracle JDeveloper HTTP 4.3 网络 部分 10.1.2.2,
10.1.3.1		 参见注释 3
AS06 Oracle Internet Directory LDAP 运行 Oracle Directory Manager 4.0 网络 一次性 部分 9.0.4.3,
10.1.2.2		  
OCS01 Oracle Ultra Search HTTP 3.0 本地 一次性 部分 部分 9.0.4.3,
10.1.2.0.2		  

注意:

  1. 该 JInitiator 漏洞仅影响客户端。不存在服务器漏洞。请参阅 MetaLink 说明 124606.1 获得安装说明。
  2. 该 Jinitiator 漏洞仅影响电子商务应用产品客户端。不存在服务器漏洞。请参阅 MetaLink 说明 124606.1 获得安装说明。
  3. 表中的这些版本指的是 JDeveloper 的独立版本。该 JDeveloper 漏洞还会影响应用服务器 9.0.4.3、10.1.2.2 以及 10.1.3.1 的上一个受影响补丁。

仅具有 Oracle 应用服务器客户端的安装

AS01 和 AS02 将影响仅具有 Oracle 应用服务器客户端的安装。




附录 C — Oracle 协作套件

Oracle 协作套件执行概要

该重要补丁更新中有 1 个特定于 Oracle 协作套件的新修复程序。

该重要补丁更新包含的修复程序针对 Oracle 协作套件中代码内没有的 Oracle 应用服务器漏洞。由于具有 Oracle 协作套件自定义文件,因此还需要执行 MetaLink 说明 445172.1 中的步骤。

Oracle 协作套件绑定了 Oracle 数据库。 Oracle 数据库部分中的 Oracle 数据库部分中列出的所有安全性修复程序都适用。该公告中引用的 Oracle 协作套件文档列出了 Oracle 协作套件实例上应该安装用来修复这些 Oracle 数据库问题的补丁。

Oracle 协作套件风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅 394487.1 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
OCS01 Oracle Ultra Search HTTP 3.0 本地 一次性 部分 部分 10.1.2 参见注释 1
  1. 针对该漏洞的修复程序仅包含在应用服务器和数据库重要补丁更新中。Oracle 协作套件没有单独的修复程序。



附录 D — Oracle 电子商务套件和应用程序

Oracle 电子商务套件和应用程序执行概要

该重要补丁更新包含 7 个适用于 Oracle 电子商务套件的新安全修复程序。其中 3 个漏洞无需身份验证即可远程利用,即可以通过网络利用该漏洞而无需用户名和口令。这些安全漏洞不会影响仅具有 Oracle 电子商务套件客户端的安装。

Oracle 电子商务套件 11i 包括 Oracle9i 应用服务器 1.0.2.2 版代码,其中包括 Oracle Reports Developer。该重要补丁更新中修复的 3 个 Oracle 应用服务器漏洞将影响该版本。

Oracle 电子商务套件产品包括一个受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库。Oracle 电子商务套件产品暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库漏洞没有列在 Oracle 电子商务套件风险表中,但应对其进行修补。

没有特定于 Oracle Life Sciences Applications(先前称为 Oracle Pharmaceutical Applications)的新安全修复程序。然而,Oracle Life Sciences Applications 包含的 Oracle 应用服务器组件和 Oracle 数据库软件应进行修补,以避免由这些产品中的漏洞导致的暴露风险。Oracle Life Sciences Applications 暴露在危险中的程度取决于所使用的 Oracle 应用服务器和 Oracle 数据库的版本。请参阅 Oracle 应用服务器Oracle 数据库部分,以了解更多信息。Oracle Life Sciences Applications 客户应参阅 MetaLink 说明 467759.1,以获得有关安装 Oracle 应用服务器和 Oracle 数据库安全补丁的详细信息。

Oracle 电子商务套件风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅 394487.1 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
AS01 Oracle Jinitiator HTTP 9.3 网络 11.5.10.2  
AS02 Oracle Jinitiator HTTP 9.3 网络 11.5.10.2  
APP01 Mobile Application Server HTTP 有效会话 5.5 网络 一次性 部分+ 部分 12.0.3  
APP02 Oracle Application Object Library HTTP 5.0 网络 部分 11.5.10.2  
APP03 Oracle Applications Framework HTTP 5.0 网络 部分 12.0.3  
APP04 Oracle Applications Manager HTTP 5.0 网络 部分 11.5.10.2  
APP05 CRM Technical Foundation HTTP 有效会话 4.9 网络 一次性 部分 部分 12.0.3  
APP06 Oracle Application Object Library HTTP 有效会话 4.9 网络 一次性 部分 部分 12.0.3  
APP07 Oracle Applications Technology Stack HTTP 有效会话 4.9 网络 一次性 部分 部分 12.0.3  
AS04 Oracle Forms HTTP 4.3 网络 部分 12.0.3  


附录 E — Oracle 企业管理器

Oracle 企业管理器执行概要

该重要补丁更新没有包含针对 Oracle 企业管理器的新安全修复程序。请参考 2007 年 10 月重要补丁更新,以获取最新的 Oracle 企业管理器安全性修复程序和相关信息。

Oracle 企业管理器 10g 网格控制包含 Oracle 数据库和 Oracle 应用服务器组件,这些组件受 Oracle 数据库Oracle 应用服务器部分中所列漏洞的影响。影响 Oracle 企业管理器特定实例的 Oracle 数据库和 Oracle 应用服务器漏洞取决于所使用的 Oracle 数据库和 Oracle 应用服务器版本。有关更多信息,请参考本文档相应部分的风险表。重要补丁更新包括适用于可安装在 Oracle 企业管理器环境中的 Oracle 数据库和 Oracle 应用服务器的补丁,应该安装这些补丁。

Oracle 企业管理器 10g 网格控制之前的 Oracle 企业管理器版本包含 Oracle 数据库组件,这些组件受 Oracle 数据库部分中所列漏洞的影响。影响 Oracle 企业管理器特定实例的 Oracle 数据库漏洞取决于所使用的 Oracle 数据库版本。有关更多信息,请参考本文档相应部分的风险表。重要补丁更新包含适用于可安装在 Oracle 企业管理器环境中的 Oracle 数据库的补丁,应该安装这些补丁。



附录 F — Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne

Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 执行概要

该重要补丁更新包含 4 个适用于 Oracle PeopleSoft Enterprise PeopleTools 的新安全修复程序。其中 1 个漏洞无需身份验证即可远程利用,即,可以通过网络利用这些漏洞而无需用户名和口令。

没有影响 JD Edwards 产品的新的安全性修复程序。

Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 风险表

漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅 394487.1客户连接 最后受影响的补丁集(每个受支持版本) 附注
基本评分 访问向量 访问复杂性 身份验证 机密性 完整性 可用性
PSE01 PeopleTools HTTP 5.8 网络 部分 部分 8.22.18
8.48.15
8.49.07		  
PSE02 PeopleTools HTTP 有效会话 4 网络 一次性 部分 8.48.15
8.49.07		  
PSE03 PeopleTools HTTP 有效会话 4 网络 一次性 部分 8.22.18
8.48.15
8.49.07		  
PSE04 PeopleTools HTTP 有效会话 3.5 网络 一次性 部分 8.22.18
8.48.15
8.49.07		  
false ,,,,,,,,,,,,,,,,