Oracle 重要补丁更新 — 2011 年 7 月

登录帐户
Oracle帐户

登出
- 帐户
- 帮助
Oracle帐户

管理您的帐户并访问个性化内容。
登录创建帐户

云帐户

访问您的云仪表盘，管理订单等。
登录
国家/地区
联系我们

Oracle 重要补丁更新公告 — 2011 年 7 月

说明

重要补丁更新是针对多个安全漏洞的补丁集合。重要补丁更新补丁是累积式的，但是每个公告只描述自上一个重要补丁更新公告以来添加的安全修复程序。因此，要了解有关以前发布的安全修复程序的信息，应该查看以前的重要补丁更新公告。请参见：

重要补丁更新和安全警报，获得有关 Oracle 安全公告的信息。

考虑到攻击得逞所带来的威胁，Oracle 强烈建议用户尽快应用 CPU 修复程序。 该重要补丁更新包含针对下列所有产品系列的 78 个新的安全修复程序。

受影响的产品和组件

该重要补丁更新解决的安全漏洞将影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在与指定的“产品和版本”列对应的“可用补丁”列中。请单击下面的“可用补丁”列中或可用补丁表中的链接，查看这些补丁的文档。

Oracle 终身支持政策的首选支持或扩展支持中受影响的产品版本：

受影响的产品和版本	可用补丁
Oracle Database 11g 第 2 版，版本 11.2.0.1、11.2.0.2	数据库
Oracle Database 11g 第 1 版，版本 11.1.0.7	数据库
Oracle Database 10g 第 2 版，版本 10.2.0.3、10.2.0.4、10.2.0.5	数据库
Oracle Database 10g 第 1 版，版本 10.1.0.5	数据库
Oracle Secure Backup，版本 10.3.0.3	数据库
Oracle Fusion Middleware 11g 第 1 版，版本 11.1.1.3.0、11.1.1.4.0、11.1.1.5.0	融合中间件
Oracle Application Server 10g 第 3 版，版本 10.1.3.5.0	融合中间件
Oracle Application Server 10g 第 2 版，版本 10.1.2.3.0	融合中间件
Oracle Business Intelligence 企业版，版本 10.1.3.4.1、11.1.1.3	融合中间件
Oracle Identity Management 10g，版本 10.1.4.0.1、10.1.4.3	融合中间件
Oracle JRockit，版本 R27.6.9 及早期版本（JDK/JRE 1.4.2、5、6）、R28.1.3 及早期版本（JDK/JRE 5、6）	融合中间件
Oracle Outside In Technology，版本 8.3.2.0、8.3.5.0	融合中间件
Oracle Enterprise Manager 10g Grid Control 第 1 版，版本 10.1.0.6	Enterprise Manager 套件
Oracle Enterprise Manager 10g Grid Control 第 2 版，版本 10.2.0.5	Enterprise Manager 套件
Oracle Enterprise Manager 11g Grid Control 第 1 版，版本 11.1.0.1	Enterprise Manager 套件
Oracle E-Business Suite 第 12 版，版本 12.0.4、12.0.6、12.1.1、12.1.2、12.1.3	E-Business Suite
Oracle E-Business Suite 第 11i 版，版本 11.5.10.2	E-Business Suite
Oracle Agile Technology Platform，版本 9.3.0.3、9.3.1.1	Oracle Supply Chain
Oracle PeopleSoft Enterprise FIN，版本 9.0、9.1	PeopleSoft
Oracle PeopleSoft Enterprise FMS，版本 9.0、9.1	PeopleSoft
Oracle PeopleSoft Enterprise FSCM，版本 9.0、9.1	PeopleSoft
Oracle PeopleSoft Enterprise HRMS，版本 8.9、9.0、9.1	PeopleSoft
Oracle PeopleSoft Enterprise SCM，版本 9.0、9.1	PeopleSoft
Oracle PeopleSoft Enterprise PeopleTools，版本 8.49、8.50、8.51	PeopleSoft
Oracle Sun 产品套件	Oracle Sun 产品套件

可用补丁表与风险表

使用累积式补丁的产品

重要补丁更新中的 Oracle 数据库、Oracle 融合中间件、Oracle Enterprise Manager Grid Control、Oracle E-Business Suite 管理软件、JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft Enterprise Portal 管理软件、PeopleSoft Enterprise PeopleTools 和 Siebel Enterprise、Oracle 行业管理软件和 Oracle VM 补丁均是累积式的；重要补丁更新中包括的任何产品补丁都包含之前的重要补丁更新中针对该产品的修复程序。有关累积式和非累积式补丁的详细信息，请检查下表中各产品组的可用补丁文档。

可用补丁表

对于所管理的每个 Oracle 产品，请查阅下表中提到的有关可用补丁信息和安装说明的文档。有关与该重要补丁更新相关的 Oracle 产品文档概述，请参阅 2011 年 7 月 Oracle 重要补丁更新文档概述 My Oracle Support 说明 1332813.1。

产品分组	风险表	可用补丁和安装信息
Oracle 数据库	Oracle 数据库风险表	2011 年 7 月补丁集更新和重要补丁更新可用性文档，My Oracle Support 说明 1323616.1
Oracle 融合中间件	Oracle 融合中间件风险表	2011 年 7 月补丁集更新和重要补丁更新可用性文档，My Oracle Support 说明 1323616.1
Oracle Enterprise Manager	Oracle Enterprise Manager 风险表	2011 年 7 月补丁集更新和重要补丁更新可用性文档，My Oracle Support 说明 1323616.1
Oracle 管理软件 — E-Business Suite	Oracle 管理软件，E-Business Suite 风险表	2011 年 7 月 Oracle E-Business Suite 重要补丁更新说明，My Oracle Support 说明 1315202.1
Oracle 管理软件 — Oracle PeopleSoft Enterprise 和 Oracle Supply Chain 产品套件	Oracle PeopleSoft Enterprise 风险表、 Oracle Supply Chain 产品风险表	针对 PeopleSoft Enterprise 和 Oracle Supply Chain Suite 产品的重要补丁更新知识文档，My Oracle Support 说明 1334177.1
Oracle Sun 产品套件	Oracle Sun 产品套件风险表	2011 年 7 月重要补丁更新中针对 Oracle Sun 产品套件的补丁发布文档，My Oracle Support 说明 1334601.1

风险表内容

风险表只列出与公告涉及到的补丁新修复的安全漏洞。之前的安全修复程序的风险表包含在之前的重要补丁更新公告中。在此可获取本文档中提供的风险表的英语文本版本。

该重要补丁更新提出的几个漏洞影响着多个产品。一个影响多个产品的漏洞将在所有风险表中显示相同的漏洞号。斜体表明其他产品领域中包含的代码中的漏洞。

安全漏洞使用 CVSS 2.0 版进行评估（请参阅用于解释 Oracle 如何应用 CVSS 2.0 的 Oracle CVSS 评估系统）。Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息，但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及利用得逞的可能结果的信息。Oracle 部分地提供了这些信息，以便客户可以根据他们产品使用的特殊性分析自己的风险。出于政策方面的原因，Oracle 不会透露有关可能会导致漏洞利用得逞的利用条件或结果的详细信息。Oracle 不提供除 CPU 或安全警报通知、可用补丁表、自述文件和常见问题解答所提供信息以外的其他具体漏洞信息。Oracle 不向个别客户提供有关 CPU 或安全警报的预先通知。最后，Oracle 不会针对产品漏洞发布可利用的入侵代码或“验证性”代码。有关详细信息，请参阅 Oracle 漏洞公开政策。

风险表中的协议暗示其所有安全变体（如果适用）也将受到影响。例如，如果列出 HTTP 为受影响协议，则暗示 HTTPS（如果适用）也将受到影响。

解决方法

考虑到攻击得逞所带来的威胁，Oracle 强烈建议客户尽快应用 CPU 修复程序。如果不应用 CPU 修复程序，则无法通过阻止攻击所需的网络协议来降低攻击得逞的风险。对于需要特定权限或者需要访问特定程序包的攻击，对不需要这些权限的用户删除这些权限或者使其无法访问这些程序包可能有助于降低攻击得逞的风险。这两种方法都有可能损害应用程序功能，因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题，因此都不能作为长期解决方案。

漏掉的重要补丁更新

Oracle 强烈建议客户尽快应用安全修复程序。如果客户漏掉了一个或多个重要补丁更新，担心该 CPU 中未公布其修复程序的产品出现安全问题，请查看以前的重要补丁更新公告以确定要采取的行动。

产品相关性

某些 Oracle 产品可能依赖于其他 Oracle 产品。因此，该重要补丁更新中发布的安全漏洞修复程序可能影响一个或多个相关的 Oracle 产品。有关这些相关产品以及对相关产品应用补丁的详细信息，请参阅 2011 年 7 月补丁集更新和重要补丁更新可用性文档 My Oracle Support 说明 1323616.1。

重要补丁更新支持的产品和版本

只有终身支持政策的首选支持或扩展支持阶段中涵盖的产品版本才提供重要补丁更新补丁。建议客户规划产品升级，以确保针对您的版本的重要补丁更新补丁可用。

没有对未涵盖在首选支持或扩展支持之下的产品版本测试过是否存在该重要补丁更新提出的安全漏洞。但是，很可能受影响的版本的那些早期版本也会受这些安全漏洞的影响。

支持的数据库、融合中间件、Enterprise Manager (EM) Grid Control 和 Collaboration Suite 产品根据软件错误更正支持政策（参见 My Oracle Support 说明 209768.1）进行修补。有关支持政策和支持阶段的详细指南，请查看技术支持政策。

处于扩展支持阶段的产品

已购买终身支持政策下的扩展支持的客户可以使用重要补丁更新补丁。客户必须具有有效的扩展支持服务合同，才能在扩展支持阶段下载重要补丁更新补丁。

应请求模式

Oracle 仅为客户要针对下一个重要补丁更新（基于历史数据）下载的平台/版本组合预先创建补丁。只要客户要求，我们将为以前固定的 Oracle 数据库、Oracle 应用服务器和 Enterprise Manager 的平台/版本组合创建补丁。

有关“应请求”补丁的更多详情，请参阅 2011 年 7 月补丁集更新和重要补丁更新可用性文档 My Oracle Support 说明 1323616.1。

致谢声明

该重要补丁更新修复的安全漏洞由以下人员或组织向 Oracle 报告：Abdul-Aziz Hariri，通过 Secunia 报告；Red Database Security 的 Alexander Kornbrust；Digital Security 的 Alexandr Polyakov；NGS Secure 的 Andy Davis；Sense of Security 的 Brett Gervasoni；CERT/CC；Dennis Yurichev；Application Security, Inc. 的 Esteban Martinez Fayo；McAfee Security Research 的 Guy Pilosof；Laszlo Toth；McAfee Security Research 的 Michael Myngerbayev；unsecurityresearch 的 Monarch2020；Hacktics 的 Ofer Maor；DORASEC Consulting 的 Okan Basegmez；以前曾任职于 NGS Software 的 Paul M. Wright；MWR InfoSecurity 的 Scott Laurie；Sow Ching Shiong，通过 Secunia 报告；Corelan Team 的 Steven Seeley；7safe 的 Sumit Siddharth；Norman 的 Tarjei Mandt；TippingPoint 的零时差项目的 Tenable Network Security；以及 CERT/CC 的 Will Dormann。

深度安全贡献者

Oracle 向那些为我们的深度安全计划作出贡献的人表示感谢（参见常见问题解答）。对于导致在以后版本中大量修改 Oracle 代码或文档但是严重程度不足以归类到重要补丁更新中的安全漏洞问题，如果有人提供相关的信息、发现或建议，则会因为深度安全作出贡献而受到褒奖。

在此重要补丁更新公告中，Oracle 向以下为 Oracle 深度安全计划作出贡献的人们表示感谢：Red Database Security 的 Alexander Kornbrust；Application Security, Inc. 的 Esteban Martinez Fayo；Pete Finnigan；以及 Integrigy 的 Stephen Kost。

重要补丁更新日程表

重要补丁更新在距 1 月、4 月、7 月和 10 月的第 17 日最近的星期二发布。接下来的四个日期为：

2011 年 10 月 18 日
2012 年 1 月 17 日
2012 年 4 月 17 日
2012 年 7 月 17 日

参考资料

Oracle 重要补丁更新和安全警报主页 [ Oracle 技术网 ]
重要补丁更新 — 2011 年 7 月文档概述 [ My Oracle Support 说明 1332813.1 ]
Oracle 重要补丁更新和安全警报 — 常见问题解答 [ CPU 常见问题解答 ]
风险表定义 [ 风险表定义 ]
使用常见漏洞评估系统 (CVSS)，Oracle [ Oracle CVSS 评估 ]
风险表的英语文本版本 [ Oracle 技术网 ]
重要补丁更新和安全警报中修复的公共漏洞列表 [ Oracle 技术网 ]
软件错误更正支持政策 [ My Oracle Support 说明 209768.1 ]

修改记录

日期	注释
2011 年 7 月 19 日	修订版 1 初始版本
2011 年 7 月 19 日	修订版 2。修改了致谢声明和 Oracle Sun 产品风险表中的说明。
2011 年 7 月 21 日	修订版 3。在深度致谢声明中添加了 Pete Finnigan。
2011 年 7 月 22 日	修订版 4。在深度致谢声明中添加了 Andy Davis。
2011 年 8 月 2 日	修订版 5。修改了 CVE-2011-2275、CVE-2011-2280 和 CVE-2011-2274 影响的 PeopleSoft Enterprise PeopleTools 支持版本。
2011 年 8 月 19 日	修订版 6。修改了 PeopleSoft Enterprise PeopleTools 和 Oracle VM VirtualBox 的受影响支持版本。

附录 — Oracle 数据库服务器

Oracle 数据库服务器执行概要

该重要补丁更新包含以下 16 个针对 Oracle 数据库服务器的新安全修复程序：

13 个适用于 Oracle 数据库服务器的新安全修复程序。其中 2 个漏洞无需身份验证即可远程利用，即可以通过网络使用这些漏洞而无需用户名和口令。这些修复程序中有 2 个适用于仅客户端的安装（即，没有安装 Oracle 数据库服务器的安装）。
3 个针对 Oracle Secure Backup 的新安全修复程序，所有这些漏洞无需身份验证即可远程利用，即，可以通过网络利用该漏洞而无需用户名和口令。

注意：以上计数不包括本风险表中记录的 17 个其 CVE 号为斜体且在 Enterprise Manager Grid Control 风险表描述过的漏洞。这些漏洞出现在数据库风险表中是因为数据库发行版捆绑了 Enterprise Management Grid Control 产品的某些功能。

Oracle 数据库服务器风险表

漏洞号	组件	协议	所需的程序包和/或权限	无需身份验证即可远程利用？	CVSS 版本 2.0 风险（参阅风险表定义）							受影响的支持版本	说明
漏洞号	组件	协议	所需的程序包和/或权限	无需身份验证即可远程利用？	基本评分	访问途径	访问复杂性	身份验证	机密性	完整性	可用性	受影响的支持版本	说明
CVE-2011-2239	Core RDBMS	Oracle NET	创建库，程序包 XMLSEQ_IMP_T 上的执行权限	否	7.1	网络	高	一次性	全	全	全	10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1, 11.2.0.2
CVE-2011-2253	Core RDBMS	Oracle NET	SYSDBA	否	7.1	网络	高	一次性	全	全	全	10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1, 11.2.0.2
CVE-2011-0882 (Oracle Enterprise Manager Grid Control)	Content Management	HTTP	调度程序	是	6.8	网络	中	无	部分	部分	部分	10.1.0.5, 10.2.0.3, 10.2.0.4, 11.1.0.7
CVE-2011-2257 (Oracle Enterprise Manager Grid Control)	Database Target Type Menus	HTTP	无	是	6.8	网络	中	无	部分	部分	部分	10.1.0.5, 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1, 11.2.0.2
CVE-2011-2248 (Oracle Enterprise Manager Grid Control)	SQL Performance Advisory/UI	HTTP	SQL Details UI & Explain Plan	是	6.8	网络	中	无	部分	部分	部分	11.1.0.7, 11.2.0.1, 11.2.0.2
CVE-2011-0870 (Oracle Enterprise Manager Grid Control)	Schema Management	HTTP	无	是	6.8	网络	中	无	部分	部分	部分	10.1.0.5, 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1, 11.2.0.2
CVE-2011-0848 (Oracle Enterprise Manager Grid Control)	安全框架	HTTP	用户模型	是	6.8	网络	中	无	部分	部分	部分	10.1.0.5, 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1, 11.2.0.2
CVE-2011-0852 (Oracle Enterprise Manager Grid Control)	Security Management	HTTP	审计管理	是	6.8	网络	中	无	部分	部分	部分	10.1.0.5, 10.2.0.3, 10.2.0.4
CVE-2011-0822 (Oracle Enterprise Manager Grid Control)	Streams, AQ & Replication Mgmt	HTTP	无	是	6.8	网络	中	无	部分	部分	部分	10.1.0.5, 10.2.0.3
CVE-2011-0835	Core RDBMS	Oracle NET	创建会话	否	6.5	网络	低	一次性	部分+	部分+	部分+	11.1.0.7, 11.2.0.1, 11.2.0.2
CVE-2011-0880	Core RDBMS	Oracle NET	创建会话	否	6.5	网络	低	一次性	部分+	部分+	部分+	11.1.0.7, 11.2.0.1, 11.2.0.2
CVE-2011-0838	Core RDBMS	Oracle NET	创建会话，创建过程	否	6.5	网络	低	一次性	部分+	部分+	部分+	11.1.0.7, 11.2.0.1, 11.2.0.2
CVE-2011-2244 (Oracle Enterprise Manager Grid Control)	安全框架	HTTP	身份验证	是	6.4	网络	低	无	部分	部分	无	10.1.0.5, 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1, 11.2.0.2
CVE-2011-0832	Core RDBMS	Oracle NET	创建会话	否	6.0	网络	中	一次性	部分+	部分+	部分+	11.1.0.7, 11.2.0.1, 11.2.0.2
CVE-2011-2232	XML Developer Kit	各种	经过身份验证的会话	否	6.0	网络	中	一次性	部分+	部分+	部分+	10.1.0.5, 10.2.0.3, 10.2.0.4, 11.1.0.7, 11.2.0.1	参见注释 1
CVE-2011-0816 (Oracle Enterprise Manager Grid Control)	CMDB Metadata & Instance API	Oracle NET	无	否	5.5	网络	低	一次性	部分+	部分+	无	10.1.0.5, 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1, 11.2.0.2
CVE-2011-0875 (Oracle Enterprise Manager Grid Control)	EMCTL	HTTP	无	否	5.5	网络	低	一次性	部分+	部分+	无	11.1.0.7
CVE-2011-0831 (Oracle Enterprise Manager Grid Control)	Enterprise Config Management	Oracle NET	无	否	5.5	网络	低	一次性	部分+	部分+	无	10.1.0.5, 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1, 11.2.0.2
CVE-2011-2230	Core RDBMS	Oracle NET	无	是	5.0	网络	低	无	无	无	部分+	10.1.0.5, 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1
CVE-2011-0811 (Oracle Enterprise Manager Grid Control)	Enterprise Config Management	本地	无	否	4.9	本地	低	无	全	无	无	10.1.0.5, 10.2.0.3, 10.2.0.4
CVE-2011-0881 (Oracle Enterprise Manager Grid Control)	EMCTL	HTTP	无	是	4.3	网络	中	无	无	部分	无	10.2.0.3, 10.2.0.4, 11.1.0.7
CVE-2011-0876 (Oracle Enterprise Manager Grid Control)	Enterprise Manager Console	HTTP	安全性	是	4.3	网络	中	无	无	部分	无	10.1.0.5, 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1, 11.2.0.2
CVE-2011-0830 (Oracle Enterprise Manager Grid Control)	Event Management	HTTP	Rules Management UI	是	4.3	网络	中	无	无	部分	无	10.1.0.5, 10.2.0.3, 10.2.0.4
CVE-2011-0877 (Oracle Enterprise Manager Grid Control)	实例管理	HTTP	无	是	4.3	网络	中	无	无	部分	无	10.1.0.5, 10.2.0.3, 10.2.0.4
CVE-2011-0879 (Oracle Enterprise Manager Grid Control)	实例管理	HTTP	无	是	4.3	网络	中	无	无	部分	无	10.1.0.5, 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1, 11.2.0.2
CVE-2011-2231	XML Developer Kit	各种	无	是	4.3	网络	中	无	无	无	部分+	10.1.0.5, 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1	参见注释 1
CVE-2011-2238	Database Vault	Oracle Net	DBMS_SYS_SQL 上的执行权限	否	4.0	网络	低	一次性	无	部分	无	10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1
CVE-2011-2243	Core RDBMS	Oracle NET	以 SYSDBA 身份创建会话和触发器	否	3.5	网络	中	一次性	无	部分	无	11.1.0.7.3, 11.2.0.1, 11.2.0.2
CVE-2011-2240	Oracle Universal Installer	本地	对文件系统的访问权限	否	1.7	本地	低	一次性	部分+	无	无	10.1.0.5
CVE-2011-2242	Core RDBMS	FTP	拥有登录 XML DB FTP 的权限的本地帐户和数据库帐户	否	1.3	本地	中	多种	部分	无	无	11.2.0.1, 11.2.0.2

注：

为保护使用 XML Developer Kit 的应用程序，需要对客户端打补丁。不过，对服务器打补丁就足以保护数据库了。

仅具有 Oracle 数据库服务器客户端的安装

该重要补丁更新中包含的以下 Oracle 数据库服务器漏洞影响仅具有客户端的安装：CVE-2011-2232 和 CVE-2011-2231。

Oracle Secure Backup 执行概要

该重要补丁更新包含 3 个适用于 Oracle Secure Backup 的新安全修复程序，所有这些漏洞无需身份验证即可远程利用，即可以通过网络使用该漏洞而无需用户名和口令。

Oracle Secure Backup 风险表

漏洞号	组件	协议	所需的程序包和/或权限	无需身份验证即可远程利用？	CVSS 版本 2.0 风险（参阅风险表定义）							受影响的支持版本	说明
漏洞号	组件	协议	所需的程序包和/或权限	无需身份验证即可远程利用？	基本评分	访问途径	访问复杂性	身份验证	机密性	完整性	可用性	受影响的支持版本	说明
CVE-2011-2261	Oracle Secure Backup	HTTP	无	是	10.0	网络	低	无	全	全	全	10.3.0.3	参见注释 1
CVE-2011-2252	Oracle Secure Backup	HTTP	无	是	6.8	网络	中	无	部分+	部分+	部分	10.3.0.3
CVE-2011-2251	Oracle Secure Backup	HTTP	无	是	4.3	网络	中	无	无	部分	无	10.3.0.3

注：

CVSS 评分对基于 Windows 的安装为 10.0。对于 Linux、Unix 和其他平台，CVSS 基本评分为 7.5，而且对机密性、完整性以及可用性的影响是局部的。

附录 — Oracle 融合中间件

Oracle 融合中间件执行概要

该重要补丁更新包含 7 个适用于 Oracle 融合中间件的新安全修复程序，其中 2 个漏洞无需身份验证即可远程利用，即可以通过网络使用这些漏洞而无需用户名和口令。

Oracle 融合中间件产品包括受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库组件。Oracle 融合中间件产品暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库安全修复程序未列在 Oracle 融合中间件风险表中。然而，由于影响 Oracle 数据库版本的漏洞可能影响 Oracle 融合中间件产品，Oracle 建议客户将 2011 年 7 月的重要补丁更新应用于 Oracle 融合中间件产品的 Oracle 数据库组件。有关您的环境需要应用哪些补丁的信息，请参阅 2011 年 7 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 1323616.1。

Oracle 融合中间件风险表

漏洞号	组件	协议	子组件	无需身份验证即可远程利用？	CVSS 版本 2.0 风险（参阅风险表定义）							受影响的支持版本	说明
漏洞号	组件	协议	子组件	无需身份验证即可远程利用？	基本评分	访问途径	访问复杂性	身份验证	机密性	完整性	可用性	受影响的支持版本	说明
CVE-2011-0873	Oracle JRockit	多种	-	是	10.0	网络	低	无	全	全	全	R27.6.9 及早期版本：JRE/JDK 1.4.2、5 和 6；R28.1.3 及早期版本：JRE/JDK 5 和 6	参见注释 1
CVE-2010-1321	Oracle Security Service	Kerberos	Security Toolkit	否	6.8	网络	低	一次性	无	无	全	11.1.1.3, 11.1.1.4, 11.1.1.5
CVE-2011-2232 (Oracle Database Server)	XML Developer Kit	各种	经过身份验证的会话	否	6.0	网络	中	一次性	部分+	部分+	部分+	10.1.3.5	参见注释 2
CVE-2011-2241	Oracle Business Intelligence 企业版	TCP/IP	Analytics Server	是	5.0	网络	低	无	无	无	部分+	10.1.3.4.1, 11.1.1.3
CVE-2011-2264	Oracle Outside In Technology	本地	Outside In Filter	否	4.4	本地	中	无	部分+	部分+	部分+	8.3.2.0, 8.3.5.0	参见注释 3
CVE-2011-2231 (Oracle Database Server)	XML Developer Kit	各种	无	是	4.3	网络	中	无	无	无	部分+	10.1.3.5	参见注释 2
CVE-2011-0884	Oracle BPEL Process Manager	HTTP	BPEL Console	否	4.0	网络	低	一次性	无	无	部分	-	参见注释 4
CVE-2011-0883	Oracle Containers for J2EE	HTTP	OC4J 中的 Servlet 运行时	否	4.0	网络	低	一次性	无	部分	无	10.1.2.3, 10.1.3.5, 10.1.4.0.1, 10.1.4.3
CVE-2011-2267	Oracle Outside In Technology	本地	Outside In Filter	否	1.9	本地	中	无	无	无	部分	8.3.2.0, 8.3.5.0	参见注释 5

注：

Oracle 发布了 2011 年 6 月 Java 重要补丁更新来解决影响 Java 运行时环境的多个漏洞。Oracle CVE-2011-0873 指的是 Java 重要补丁更新中所有适用于 JRockit 的公告漏洞。在 JRockit 已修复的漏洞中，这个漏洞号的 CVSS 评分最高。下面列出 JRockit 中在 CVE-2011-0873 下解决的所有公告漏洞：CVE-2011-0802、CVE-2011-0814、CVE-2011-0815、CVE-2011-0862、CVE-2011-0865、CVE-2011-0866、CVE-2011-0867、CVE-2011-0868、CVE-2011-0869、CVE-2011-0871、CVE-2011-0872 和 CVE-2011-0873。
在融合中间件产品中，此 XML DB 安全修复程序的组件为“XML Developers Kit”。子组件为“XML Parser”。
Outside In Technology 是一个软件开发工具包 (SDK) 套件。它没有任何特定相关的协议。其权限受嵌入技术控制。根据托管软件，如果托管软件运行在根目录下并将通过网络收到的数据传递给 Outside In Technology 代码，CVSS 分数可达到 9.3。
在所有支持的版本和补丁集中得到修复。
Outside In Technology 是一个软件开发工具包 (SDK) 套件。它没有任何特定相关的协议。其权限受嵌入技术控制。根据托管软件，如果托管软件运行在根目录下并将通过网络收到的数据传递给 Outside In Technology 代码，CVSS 分数可达到 7.1。

附录 — Oracle Enterprise Manager Grid Control

Oracle Enterprise Manager Grid Control 执行概要

该重要补丁更新包含 18 个适用于 Oracle Enterprise Manager Grid Control 的新安全修复程序。其中 14 个漏洞无需身份验证即可远程利用，即可以通过网络使用这些漏洞而无需用户名和口令。所有这些修复程序都不适用于仅客户端的安装（即，没有安装 Oracle Enterprise Manager Grid Control 的安装）。

Oracle Enterprise Manager 产品包括 Oracle 数据库和 Oracle 融合中间件组件，这些组件受 Oracle 数据库和 Oracle 融合中间件部分中所列漏洞的影响。Oracle Enterprise Manager 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle Enterprise Manager 风险表中。然而，由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle Enterprise Manager 产品，Oracle 建议客户将 2011 年 7 月的重要补丁更新应用于 Oracle Enterprise Manager 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息，请参阅 2011 年 7 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 1323616.1。

Oracle Enterprise Manager Grid Control 风险表

漏洞号	组件	协议	子组件	无需身份验证即可远程利用？	CVSS 版本 2.0 风险（参阅风险表定义）							受影响的支持版本	说明
漏洞号	组件	协议	子组件	无需身份验证即可远程利用？	基本评分	访问途径	访问复杂性	身份验证	机密性	完整性	可用性	受影响的支持版本	说明
CVE-2011-0882	Content Management	HTTP	调度程序	是	6.8	网络	中	无	部分	部分	部分	参见注释	参见注释 1
CVE-2011-0845	Database Control	HTTP	无	是	6.8	网络	中	无	部分	部分	部分	10.1.0.6
CVE-2011-2257	Database Target Type Menus	HTTP	无	是	6.8	网络	中	无	部分	部分	部分	10.1.0.6, 10.2.0.5, 11.1.0.1
CVE-2011-2248	SQL Performance Advisory/UI	HTTP	SQL Details UI & Explain Plan	是	6.8	网络	中	无	部分	部分	部分	10.1.0.6, 10.2.0.5, 11.1.0.1
CVE-2011-0870	Schema Management	HTTP	无	是	6.8	网络	中	无	部分	部分	部分	10.1.0.6, 10.2.0.5
CVE-2011-0848	安全框架	HTTP	用户模型	是	6.8	网络	中	无	部分	部分	部分	10.1.0.6, 10.2.0.5
CVE-2011-0852	Security Management	HTTP	审计管理	是	6.8	网络	中	无	部分	部分	部分	10.1.0.6
CVE-2011-0822	Streams, AQ & Replication Mgmt	HTTP	无	是	6.8	网络	中	无	部分	部分	部分	10.1.0.6
CVE-2011-2244	安全框架	HTTP	身份验证	是	6.4	网络	低	无	部分	部分	无	10.1.0.6, 10.2.0.5, 11.1.0.1
CVE-2011-0816	CMDB Metadata & Instance API	Oracle NET	无	否	5.5	网络	低	一次性	部分+	部分+	无	10.1.0.6, 10.2.0.5
CVE-2011-0875	EMCTL	HTTP	无	否	5.5	网络	低	一次性	部分+	部分+	无	参见注释	参见注释 1
CVE-2011-0831	Enterprise Config Management	Oracle NET	无	否	5.5	网络	低	一次性	部分+	部分+	无	10.1.0.6, 10.2.0.5
CVE-2011-0811	Enterprise Config Management	本地	无	否	4.9	本地	低	无	全	无	无	10.1.0.6, 10.2.0.5
CVE-2011-0881	EMCTL	HTTP	无	是	4.3	网络	中	无	无	部分	无	10.1.0.6
CVE-2011-0876	Enterprise Manager Console	HTTP	安全性	是	4.3	网络	中	无	无	部分	无	10.1.0.6, 10.2.0.5
CVE-2011-0830	Event Management	HTTP	Rules Management UI	是	4.3	网络	中	无	无	部分	无	10.1.0.6
CVE-2011-0877	实例管理	HTTP	无	是	4.3	网络	中	无	无	部分	无	10.1.0.6
CVE-2011-0879	实例管理	HTTP	无	是	4.3	网络	中	无	无	部分	无	10.1.0.6, 10.2.0.5

注：

在所有支持的版本和补丁集中得到修复。

附录 — Oracle 管理软件

Oracle 管理软件执行概要

该重要补丁更新包含以下 14 个针对 Oracle 管理软件的新安全修复程序：

1 个针对 Oracle E-Business Suite 的新安全修复程序，该漏洞无需身份验证即可远程利用，即，可以通过网络利用该漏洞而无需用户名和口令。
1 个针对 Oracle Supply Chain 产品套件的新安全修复程序，该漏洞必需身份验证才可远程利用，即，没有用户名和口令就不能通过网络利用该漏洞。
12 个针对 Oracle PeopleSoft 产品的新安全修复程序，其中 1 个漏洞无需身份验证即可远程利用，即，可以通过网络利用该漏洞而无需用户名和口令。

Oracle E-Business Suite 执行概要

此重要补丁更新包含 1 个针对 Oracle E-Business Suite 的新安全修复程序，该漏洞无需身份验证即可远程利用，即，可以通过网络利用该漏洞而无需用户名和口令。

Oracle E-Business Suite 产品包括 Oracle 数据库和 Oracle 融合中间件组件，这些组件受 Oracle 数据库和 Oracle 融合中间件部分中所列漏洞的影响。Oracle E-Business Suite 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle E-Business Suite 风险表中。然而，由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle E-Business Suite 产品，Oracle 建议客户将 2011 年 7 月的重要补丁更新应用于 Oracle E-Business Suite 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息，请参阅 2011 年 7 月的 Oracle E-Business Suite 重要补丁更新 My Oracle Support 说明 1315202.1。

Oracle E-Business Suite 风险表

漏洞号	组件	协议	子组件	无需身份验证即可远程利用？	CVSS 版本 2.0 风险（参阅风险表定义）							受影响的支持版本	说明
漏洞号	组件	协议	子组件	无需身份验证即可远程利用？	基本评分	访问途径	访问复杂性	身份验证	机密性	完整性	可用性	受影响的支持版本	说明
CVE-2011-2246	Business Intelligence	HTTP	Financials	是	4.3	网络	中	无	无	部分	无	11.5.10.2, 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3

Oracle Supply Chain 产品套件执行概要

此重要补丁更新包含 1 个针对 Oracle Supply Chain 产品套件的新安全修复程序，该漏洞必需身份验证才可远程利用，即，没有用户名和口令就不能通过网络利用该漏洞。

Oracle Supply Chain 产品套件风险表

漏洞号	组件	协议	子组件	无需身份验证即可远程利用？	CVSS 版本 2.0 风险（参阅风险表定义）							受影响的支持版本	说明
漏洞号	组件	协议	子组件	无需身份验证即可远程利用？	基本评分	访问途径	访问复杂性	身份验证	机密性	完整性	可用性	受影响的支持版本	说明
CVE-2011-2273	Agile Core Technology	HTTP	Search	否	4.0	网络	低	一次性	部分	无	无	9.3.0.3, 9.3.1.1

Oracle PeopleSoft 产品执行概要

该重要补丁更新包含 12 个适用于 Oracle PeopleSoft 产品的新安全修复程序，其中 1 个漏洞无需身份验证即可远程利用，即可以通过网络使用该漏洞而无需用户名和口令。

注意：如前文风险表内容部分所述，风险表中所列协议暗示其所有安全变体（如果适用）也将受到影响。例如，如果列出 HTTP 为受影响协议，则暗示 HTTPS（如果适用）也将受到影响。

Oracle PeopleSoft 产品风险表

漏洞号	组件	协议	子组件	无需身份验证即可远程利用？	CVSS 版本 2.0 风险（参阅风险表定义）							受影响的支持版本	说明
漏洞号	组件	协议	子组件	无需身份验证即可远程利用？	基本评分	访问途径	访问复杂性	身份验证	机密性	完整性	可用性	受影响的支持版本	说明
CVE-2011-2250	PeopleSoft Enterprise FIN	HTTP	Receivables	否	5.5	网络	低	一次性	部分	部分	无	9.0 Bundle #36、9.1 Bundle #13
CVE-2011-2283	PeopleSoft Enterprise FMS	HTTP	Payables	否	5.5	网络	低	一次性	部分	部分	无	9.0 Bundle #36、9.1 Bundle #13
CVE-2011-2272	PeopleSoft Enterprise FSCM	HTTP	eProcurement	否	5.5	网络	低	一次性	部分	部分	无	9.0 Bundle #36、9.1 Bundle #13
CVE-2011-2281	PeopleSoft Enterprise HRMS	HTTP	Global Payroll Core	否	5.5	网络	低	一次性	部分	部分	无	8.9 Update 2011-D
CVE-2011-2279	PeopleSoft Enterprise HRMS	HTTP	Talent Acquisition Manager	否	5.5	网络	低	一次性	部分	部分	无	9.1 Bundle #6
CVE-2011-2277	PeopleSoft Enterprise SCM	HTTP	Purchasing	否	5.5	网络	低	一次性	部分	部分	无	9.0 Bundle #36 9.1 Bundle #13
CVE-2011-2275	PeopleSoft Enterprise PeopleTools	HTTP	无	是	4.3	网络	中	无	无	部分+	无	8.49.31, 8.50.20, 8.51.11
CVE-2011-2278	PeopleSoft Enterprise HRMS	HTTP	Talent Acquisition Manager	否	4.0	网络	低	一次性	部分	无	无	8.9 Bundle #24 9.0 Bundle #17 9.1 Bundle #6
CVE-2011-2284	PeopleSoft Enterprise HRMS	HTTP	ePerformance	否	4.0	网络	低	一次性	部分	无	无	9.0 Bundle #17
CVE-2011-2280	PeopleSoft Enterprise PeopleTools	HTTP	无	否	4.0	网络	低	一次性	无	部分	无	8.49.31, 8.50.20, 8.51.11
CVE-2011-2282	PeopleSoft Enterprise PeopleTools	HTTP	无	否	3.5	网络	中	一次性	无	部分	无	8.50.20, 8.51.11
CVE-2011-2274	PeopleSoft Enterprise PeopleTools	专用	无	否	3.5	网络	中	一次性	无	部分+	无	8.49.31, 8.50.20, 8.51.11

附录 — Oracle Sun 产品套件

Oracle Sun 产品套件执行概要

此重要补丁更新包含 23 个针对 Oracle Sun 产品套件的新安全修复程序，其中 9 个漏洞无需身份验证即可远程利用，即，可以通过网络利用该漏洞而无需用户名和口令。

在此可获取风险表的英语文本版本。

Sun Microsystems 公布 Sun 产品线安全漏洞修复程序的政策已经与 Oracle 软件安全性保障政策和过程相融合。详细信息，请参阅 Sun 产品线安全政策变化。

Oracle Sun 产品套件风险表

漏洞号	组件	协议	子组件	无需身份验证即可远程利用？	CVSS 版本 2.0 风险（参阅风险表定义）							受影响的支持版本	说明
漏洞号	组件	协议	子组件	无需身份验证即可远程利用？	基本评分	访问途径	访问复杂性	身份验证	机密性	完整性	可用性	受影响的支持版本	说明
CVE-2011-2288	SPARC T3 系列、SPARC Netra T3 系列	SSH	Sun Integrated Lights Out Manager (ILOM)	是	10.0	网络	低	无	全	全	全	SysFW 8.1.0.a	参见注释 1
CVE-2011-2287	Solaris	TCP/IP	fingerd	是	7.8	网络	低	无	无	无	全	8、9、10、11 Express
CVE-2011-2299	SPARC Enterprise M 系列	SSH	XSCF Control Package (XCP)	是	7.5	网络	低	无	部分	部分	部分	XCP 1101 或更早版本	参见注释 2
CVE-2011-2307	SPARC T3、Netra SPARC T3、Sun Fire、Sun Blade 服务器系列	SSH	Sun Integrated Lights Out Manager (ILOM)	是	7.5	网络	低	无	部分	部分	部分	对于基于 SPARC T3 的服务器：SysFW 8.1.0.a；对于其他服务器，请参见 1334601.1	参见注释 3
CVE-2011-2245	Solaris	SSH	SSH	是	7.5	网络	低	无	部分	部分	部分	9, 10
CVE-2011-2285	Solaris	无	安装程序	否	7.2	本地	低	无	全	全	全	10
CVE-2011-1511	Oracle GlassFish Server	HTTP	Administration	是	6.4	网络	低	无	部分	部分	无	2.1.1, 3.0.1
CVE-2011-2305	Oracle VM VirtualBox	无	所有程序包	否	6.2	本地	高	无	全	全	全	4.0
CVE-2011-2297	Oracle Solaris Cluster	无	Data Service for WebLogic Server	否	6.1	本地	低	无	部分	部分	全	3.3
CVE-2011-2260	Oracle GlassFish Server	HTTP	Administration	是	5.8	网络	中	无	部分	部分	无	2.1.1
CVE-2011-2249	Solaris	TCP/IP	TCP/IP	否	5.2	邻近网络	中	一次性	无	无	全	8, 9, 10
CVE-2011-2294	Solaris	SSH	SSH	是	5.0	网络	低	无	无	无	部分	10、11 Express
CVE-2011-2298	Solaris	SSL	KSSL	是	5.0	网络	低	无	无	无	部分	10、11 Express
CVE-2011-2296	Solaris	无	内核/SCTP	否	4.9	本地	低	无	无	无	全	11 Express
CVE-2011-2290	Solaris	无	内核/sockfs	否	4.9	本地	低	无	无	无	全	10、11 Express
CVE-2011-2259	Solaris	无	UFS	否	4.9	本地	低	无	无	无	全	8、9、10、11 Express
CVE-2011-2293	Solaris	无	区域	否	4.9	本地	低	无	无	无	全	11 Express
CVE-2011-2295	Solaris	无	驱动程序/USB	否	4.7	本地	中	无	无	无	全	8、9、10、11 Express
CVE-2011-2258	Solaris	无	rksh	否	4.6	本地	低	无	部分	部分	部分	8、9、10、11 Express
CVE-2011-2300	Oracle VM VirtualBox	无	适用于 Windows 的 Guest Additions	否	3.7	本地	高	无	部分	部分	部分	3.0、3.1、3.2 和 4.0 至 4.0.8
CVE-2011-2289	Solaris	无	LiveUpgrade	否	3.6	本地	低	无	无	部分	部分	10
CVE-2011-2263	SPARC T3、Netra SPARC T3、Sun Fire、Sun Blade 服务器系列	无	Sun Integrated Lights Out Manager	否	2.1	本地	低	无	部分	无	无	对于基于 SPARC T3 的服务器：SysFW 8.0.3.b 及更早版本；对于其他服务器，请参见 1334601.1	参见注释 4
CVE-2011-2291	Solaris	无	Trusted Extensions	否	1.7	本地	低	一次性	部分	无	无	10

注：

CVE-2011-2288：受影响的具体产品为：SPARC T3-1、SPARC T3-1B、SPARC T3-2、SPARC T3-4、Netra SPARC T3-1、Netra SPARC T3-1B
CVE-2011-2299：受影响的具体产品为：SPARC Enterprise M3000、SPARC Enterprise M4000、SPARC Enterprise M5000、SPARC Enterprise M8000、SPARC Enterprise M9000
CVE-2011-2307：受影响的具体产品为：SPARC T3-1、SPARC T3-1B、SPARC T3-2、SPARC T3-4、Netra SPARC T3-1、Netra SPARC T3-1B、Sun Fire X4170 M2、Sun Fire X4270 M2、Sun Blade x6270 M2、Sun Fire x4470、Sun Fire x4470 M2
CVE-2011-2263：受影响的具体产品为：SPARC T3-1、SPARC T3-1B、SPARC T3-3、SPARC T3-4、Netra SPARC T3-1、Sun Blade X6250、Sun Blade x6270、Sun Blade x6270 M2、Sun Blade X6275、Sun Blade X6275 M2、Sun Blade X6440 M2、Sun Blade X6450、Sun Fire X2270 M2、Sun Fire X2270、Sun Fire X4170 M2、Sun Fire X4170、Sun Fire X4270 M2、Sun Fire X4270、Sun Fire X4275、Sun Fire x4470 M2、Sun Fire x4470、Sun Fire x4540

E-mail this page

Oracle帐户