Oracle 重要补丁更新公告 — 2013 年 7 月


说明

重要补丁更新 (CPU) 是针对多个安全漏洞的补丁集合。重要补丁更新补丁通常是累积式的,但是每个公告只描述自上一个重要补丁更新公告以来添加的安全修复程序。因此,要了解有关以前发布的安全修复程序的信息,应该查看以前的重要补丁更新公告。请参见:

重要补丁更新和安全警报,获得有关 Oracle 安全公告的信息。

考虑到攻击得逞所带来的威胁,Oracle 强烈建议客户尽快应用 CPU 修复程序。 该重要补丁更新包含针对下列产品系列的 89 个新的安全修复程序。

本重要补丁更新公告还提供了符合常见漏洞报告格式 (CVRF) 1.1 版的 XML 格式。有关 Oracle 使用 CVRF 的更多信息,请参阅:http://www.oracle.com/technetwork/topics/security/cpufaq-098434.html#CVRF.

受影响的产品和组件

该重要补丁更新解决的安全漏洞将影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在与指定的“产品和版本”列对应的“可用补丁”列中。请单击下面的“可用补丁”列中或可用补丁表中的链接,查看这些补丁的文档。

下面是 Oracle 终身支持政策下标准支持或扩展支持所涵盖的受影响的产品版本列表:

受影响的产品和版本 可用补丁
Oracle Database 11g 第 2 版,版本 11.2.0.2、11.2.0.3 数据库
Oracle Database 11g 第 1 版,版本 11.1.0.7 数据库
Oracle Database 10g 第 2 版,版本 10.2.0.4、10.2.0.5 数据库
Oracle Access Manager,版本 11.1.1.5.0、11.1.1.7.0、11.1.2.0.0 融合中间件
Oracle Endeca Server,版本 7.4.0、7.5.1.1 融合中间件
Oracle HTTP Server,版本 10.1.3.5.0 融合中间件
Oracle JRockit,版本 R27.7.5 及早期版本、R28.2.7 及早期版本 融合中间件
Oracle Outside In Technology,版本 8.3.7、8.4.0、8.4.1 融合中间件
Oracle WebCenter Content,版本 10.1.3.5.1、11.1.1.6.0、11.1.1.7.0 融合中间件
Oracle Hyperion BI,版本 11.1.1.3、11.1.1.4.107 及早期版本、11.1.2.1.129 及早期版本、11.1.2.2.305 及早期版本 Hyperion
Enterprise Manager Plugin for Database 12c 第 1 版,版本 12.1.0.2、12.1.0.3 Enterprise Manager
Enterprise Manager Grid Control 11g 第 1 版,版本 11.1.0.1 Enterprise Manager
Enterprise Manager Grid Control 10g 第 1 版,版本 10.2.0.5 Enterprise Manager
Oracle E-Business Suite 12i 版,版本 12.0.6、12.1.1、12.1.2、12.1.3 E-Business Suite
Oracle E-Business Suite 11i 版,版本 11.5.10.2 E-Business Suite
Oracle Agile Collaboration Framework,版本 9.3.1 Oracle Supply Chain
Oracle Agile PLM Framework,版本 9.3.1 Oracle Supply Chain
Oracle Agile Product Framework,版本 9.3.1 Oracle Supply Chain
Oracle PeopleSoft Enterprise Portal,版本 9.1 PeopleSoft
Oracle PeopleSoft HRMS,版本 9.1 PeopleSoft
Oracle PeopleSoft PeopleTools,版本 8.51、8.52、8.53 PeopleSoft
Oracle iLearning,版本 5.2.1、6.0 iLearning
Oracle Policy Automation,版本 10.2.0、10.3.0、10.3.1、10.4.0、10.4.1、10.4.2 Oracle 行业管理软件产品套件
Oracle Solaris 版本 8、9、10、11.1 Oracle 和 Sun 系统产品套件
Oracle Solaris Cluster 版本 3.2、3.3、4 至 4.1 SRU 3 Oracle 和 Sun 系统产品套件
Oracle SPARC Enterprise M 系列服务器固件版本 XCP 1114 及早期版本 Oracle 和 Sun 系统产品套件
Oracle Secure Global Desktop,版本 4.6 至 4.63、4.7 至 4.71 Oracle Linux 和虚拟化
Oracle MySQL Server,版本 5.1、5.5、5.6 Oracle MySQL 产品套件


可用补丁表与风险表

使用累积式补丁的产品

重要补丁更新中的 Oracle 数据库、Oracle 融合中间件、Oracle Enterprise Manager Grid Control、Oracle E-Business Suite 管理软件、JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft Enterprise Portal 管理软件、PeopleSoft Enterprise PeopleTools、Siebel Enterprise、行业管理软件、FLEXCUBE、Primavera 和 Oracle VM 补丁均是累积式的。换言之,重要补丁更新中包括的任何这些产品的补丁都包含之前的重要补丁更新中针对相应产品的所有修复程序。有关累积式和非累积式补丁的详细信息,请查阅下表中各产品组的可用补丁文档。

可用补丁表

对于所管理的每个 Oracle 产品,请查阅下表中提到的有关可用补丁信息和安装说明的文档。有关与该重要补丁更新相关的 Oracle 产品文档概述,请参阅 2013 年 7 月 Oracle 重要补丁更新文档概述 My Oracle Support 说明 1563067.1


产品分组 风险表 可用补丁和安装信息
Oracle 数据库 Oracle 数据库风险表 2013 年 7 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1548709.1
Oracle 融合中间件 Oracle 融合中间件风险表 2013 年 7 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1548709.1
Oracle Hyperion Oracle Hyperion 风险表 2013 年 7 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1548709.1
Oracle Enterprise Manager Oracle Enterprise Manager 风险表 2013 年 7 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1548709.1
Oracle 管理软件 — E-Business Suite Oracle 管理软件,E-Business Suite 风险表 Oracle E-Business Suite 11i 和 12 版重要补丁更新知识文档(2013 年 7 月),My Oracle Support Note 1559732.1
Oracle 管理软件 — Oracle Supply Chain、PeopleSoft Enterprise 和 iLearning 产品套件 Oracle Supply Chain 风险表
Oracle PeopleSoft Enterprise 风险表
Oracle iLearning 产品风险表		 针对 Oracle Supply Chain、PeopleSoft Enterprise 和 iLearning 产品套件的重要补丁更新知识文档,My Oracle Support 说明 1564896.1
Oracle Policy Automation 行业套件 Oracle 行业管理软件风险表 2013 年 7 月重要补丁更新可用补丁文档 My Oracle Support 说明 1566029.1
Oracle 和 Sun 系统产品套件 Oracle 和 Sun 系统产品套件风险表 2013 年 7 月重要补丁更新中针对 Oracle 和 Sun 系统产品套件的补丁发布文档,My Oracle Support 说明 1547593.1
Oracle Linux 和虚拟化产品 Oracle Linux 和虚拟化产品风险表 2013 年 7 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1564097.1
Oracle MySQL Server Oracle MySQL 风险表 2013 年 7 月重要补丁更新中针对 Oracle MySQL 产品的可用补丁文档,My Oracle Support 说明 1563224.1

风险表内容

风险表只列出公告涉及到的补丁新近修复的安全漏洞。之前的安全修复程序的风险表包含在之前的重要补丁更新公告中。在此可获取本文档中提供的风险表的英语文本版本。

该重要补丁更新提出的几个漏洞影响着多个产品。每个漏洞都通过一个漏洞号来标识,该编号是相应漏洞的唯一标识符。一个影响多个产品的漏洞将在所有风险表中显示相同的漏洞号斜体 表明其他产品领域中包含的代码中的漏洞。

安全漏洞使用 CVSS 2.0 版进行评估(请参阅用于解释 Oracle 如何应用 CVSS 2.0 的 Oracle CVSS 评估系统)。Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及利用得逞的潜在影响的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析自己的风险。有关详细信息,请参阅 Oracle 漏洞公开政策

风险表中的协议暗示其所有安全变体(如果适用)也将受到影响。例如,如果列出 HTTP 为受影响协议,则暗示 HTTPS(如果适用)也将受到影响。

解决方法

考虑到攻击得逞所带来的威胁,Oracle 强烈建议客户尽快应用 CPU 修复程序。如果不应用 CPU 修复程序,则无法通过阻止攻击所需的网络协议来降低攻击得逞的风险。对于需要特定权限或者需要访问特定程序包的攻击,对不需要这些权限的用户删除这些权限或者使其无法访问这些程序包可能有助于降低攻击得逞的风险。这两种方法都有可能损害应用程序功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。

漏掉的重要补丁更新

Oracle 强烈建议客户尽快应用安全修复程序。如果客户漏掉了一个或多个重要补丁更新,担心该 CPU 中未公布其修复程序的产品出现安全问题,请查看以前的重要补丁更新公告以确定要采取的行动。

产品相关性

某些 Oracle 产品可能依赖于其他 Oracle 产品。因此,该重要补丁更新中发布的安全漏洞修复程序可能影响一个或多个相关的 Oracle 产品。有关这些相关产品以及对相关产品应用补丁的详细信息,请参阅 2013 年 7 月补丁集更新和重要补丁更新可用性文档 My Oracle Support 说明 1548709.1

重要补丁更新支持的产品和版本

只有终身支持政策的标准支持或扩展支持阶段中涵盖的产品版本才提供重要补丁更新补丁。建议客户规划产品升级,以确保当前运行的版本可以应用重要补丁更新补丁。

没有对未涵盖在标准支持或扩展支持之下的产品版本测试过是否存在该重要补丁更新提出的安全漏洞。但是,很可能受影响的版本的那些早期版本也会受这些安全漏洞的影响。因此,建议客户升级到受支持的版本。

受支持的数据库、融合中间件、Oracle Enterprise Manager Base Platform(以前的“Oracle Enterprise Manager Grid Control”)和 Collaboration Suite 产品根据软件错误更正支持政策(参见 My Oracle Support 说明 209768.1)进行修补。有关支持政策和支持阶段的详细指南,请查看技术支持政策

处于扩展支持阶段的产品

已购买终身支持政策下的扩展支持的客户可以使用重要补丁更新补丁。客户必须具有有效的扩展支持服务合同,才能在扩展支持阶段下载重要补丁更新补丁。

致谢声明

该重要补丁更新修复的安全漏洞由以下人员或组织向 Oracle 报告:Foreground Security 的 Adam Willard;ERPScan (Digital Security Research Group) 的 Alexey Tyurin;与 HP 的零时差计划合作的 Andrea Micalizzi(即 rgod);Salesforce.com 的 Ari Rubinstein;Silent Signal LLC 的 Balint Varga-Perke;Google 安全小组的 Borked;David Hoyt;Application Security, Inc. 的 Esteban Martinez Fayo;McAfee Security Research 的 Guy Lichtman;Codenomicon 的 Joonas Kuorilehto;JPCERT/CC 漏洞处理小组的 Masashi Shiraishi;Schutzwerk GmbH 的 Michael Schaefer;HP 零时差计划的 Nicolas Grgoire;Schutzwerk GmbH 的 Peter Babel;NCC Group 的 Richard Warren;BAE Systems Detica 的 Rohan Stelling;通过 JPCERT/CC 报告的 Internet Initiative Japan Inc. 的 Takahiro Haruyama;以及通过 iDefense 报告的 Travis Emmert。

深度安全贡献者

Oracle 向那些为我们的深度安全计划作出贡献的人表示感谢(参见常见问题解答)。对于导致在以后版本中大量修改 Oracle 代码或文档但是严重程度不足以归类到重要补丁更新中的安全漏洞问题,如果有人提供相关的信息、发现或建议,则会因为深度安全作出贡献而受到褒奖。

在此重要补丁更新公告中,Oracle 向以下为 Oracle 深度安全计划作出贡献的人们表示感谢:Reactionis 的 Joseph Sheridan;以及 Shmuel Amar。

在线业务安全贡献者

Oracle 向那些为我们的在线业务安全计划作出贡献的人表示感谢(参见常见问题解答)。如果有人提供会导致在以后版本中大量修改 Oracle 面向外部的在线系统安全问题相关的信息、发现或建议,则会因为在线业务安全作出贡献而受到褒奖。

本季度,Oracle 向以下为 Oracle 在线业务安全计划作出贡献的人们表示感谢:Bradley Johnson;David Hoyt;Dhaval Chauhan;Issam Rabhi 和 Imen Essoussi;Kamil Sevi;Madhuri Goud;Mayank Bhatodra;Mirza Akif Israr;Shashank Kumar;Sky_BlaCk;Sunil Dadhich;以及 Vinesh N. Redkar。

重要补丁更新时间表

重要补丁更新在距 1 月、4 月、7 月和 10 月的第 17 日最近的星期二发布。接下来的四个日期为:

  • 2013 年 10 月 15 日
  • 2014 年 1 月 14 日
  • 2014 年 4 月 15 日
  • 2014 年 7 月 15 日

    • 从 2013 年 10 月的重要补丁更新开始,将按照正常的重要补丁更新计划发布适用于 Java SE 的安全补丁修复程序。

参考资料


修改记录


2013 年 7 月 16 日 修订版 1。初始版本

 

附录 — Oracle 数据库服务器

 

 

Oracle 数据库服务器执行概要

 

该重要补丁更新包含 6 个适用于 Oracle 数据库服务器的新安全修复程序。其中 1 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。所有这些修复程序都不适用于仅客户端的安装(即,没有安装 Oracle 数据库服务器的安装)。在此可获取此风险表的英语文本形式。

Oracle 数据库包括受 Oracle Enterprise Manager 部分列出的某些漏洞影响的 Enterprise Manager Database Control。这些漏洞未列在 Oracle 数据库风险表中。Oracle 建议客户参考 Oracle Enterprise Manager 部分,了解 Enterprise Manager Database Control 受影响的版本,然后按照 2013 年 7 月重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support Note 1548709.1 的“数据库”部分应用补丁。

 

Oracle 数据库服务器风险表


漏洞号 组件 协议 所需的程序包和/或权限 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2013-3751
 XML Parser HTTP 具备创建会话的权限 9.0 网络 一次性 11.2.0.2、11.2.0.3  
CVE-2013-3774
 网络层 Oracle Net 7.6 网络 10.2.0.4、10.2.0.5、11.1.0.7、11.2.0.2、11.2.0.3  
CVE-2013-3760
 Oracle 可执行文件 本地 7.2 本地 10.2.0.4、10.2.0.5、11.1.0.7、11.2.0.2、11.2.0.3  
CVE-2013-3771
 Oracle 可执行文件 本地 7.2 本地 10.2.0.4、10.2.0.5、11.1.0.7、11.2.0.2、11.2.0.3  
CVE-2013-3789
 Core RDBMS Oracle Net 具备创建会话、创建过程的权限 6.5 网络 一次性 部分+ 部分+ 部分+ 10.2.0.4、10.2.0.5、11.1.0.7、11.2.0.2、11.2.0.3  
CVE-2013-3790
 Core RDBMS Oracle Net 特权帐户 2.1 网络 一次性 部分 10.2.0.4、10.2.0.5、11.1.0.7、11.2.0.2、11.2.0.3  
 

 


 

附录 — Oracle 融合中间件

 

 

Oracle 融合中间件执行概要

 

该重要补丁更新包含 21 个适用于 Oracle 融合中间件的新安全修复程序。其中 16 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

Oracle 融合中间件产品包括受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库组件。Oracle 融合中间件产品暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库安全修复程序未列在 Oracle 融合中间件风险表中。然而,由于影响 Oracle 数据库版本的漏洞可能影响 Oracle 融合中间件产品,Oracle 建议客户将 2013 年 7 月的重要补丁更新应用于 Oracle 融合中间件产品的 Oracle 数据库组件。有关您的环境需要应用哪些补丁的信息,请参阅 2013 年 7 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 1548709.1

 

Oracle 融合中间件风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2013-2461
 Oracle JRockit 多个 - 7.5 网络 部分 部分 部分 R27.7.5 及早期版本、R28.2.7 及早期版本 参见注释 1
CVE-2013-3763
 Oracle Endeca Server HTTP 软件 5.5 网络 一次性 部分 部分 7.4.0、7.5.1.1  
CVE-2013-3764
 Oracle Endeca Server HTTP 软件 5.5 网络 一次性 部分 部分 7.4.0、7.5.1.1  
CVE-2013-3770
 Oracle WebCenter Content HTTP Content Server 5.5 网络 一次性 部分 部分 10.1.3.5.1、11.1.1.6.0、11.1.1.7.0  
CVE-2010-2068
 Oracle HTTP Server HTTP Proxy Plug-In 5.0 网络 部分 - 参见注释 2
CVE-2007-3847
 Oracle HTTP Server HTTP Web Listener 5.0 网络 部分 - 参见注释 2
CVE-2008-2364
 Oracle HTTP Server HTTP Web Listener 5.0 网络 部分 - 参见注释 2
CVE-2010-0425
 Oracle HTTP Server HTTP Web Listener 5.0 网络 部分+ 10.1.3.5.0  
CVE-2013-3755
 Oracle Access Manager HTTP SSO Engine 4.3 网络 部分 11.1.1.5.0、11.1.1.7.0、11.1.2.0.0  
CVE-2006-5752
 Oracle HTTP Server HTTP Web Listener 4.3 网络 部分 10.1.3.5.0  
CVE-2007-6388
 Oracle HTTP Server HTTP Web Listener 4.3 网络 部分 10.1.3.5.0  
CVE-2007-5000
 Oracle HTTP Server HTTP Web Listener 4.3 网络 部分 10.1.3.5.0  
CVE-2012-2687
 Oracle HTTP Server HTTP Web Listener 4.3 网络 部分 - 参见注释 2
CVE-2011-3348
 Oracle HTTP Server HTTP Web Listener 4.3 网络 部分 - 参见注释 2
CVE-2011-0419
 Oracle HTTP Server HTTP Web Listener 4.3 网络 部分 - 参见注释 2
CVE-2005-3352
 Oracle HTTP Server HTTP Web Listener 4.3 网络 部分 10.1.3.5.0  
CVE-2010-0434
 Oracle HTTP Server HTTP Web Listener 4.3 网络 部分 10.1.3.5.0  
CVE-2013-3769
 Oracle WebCenter Content HTTP Site Studio 4.3 网络 部分 10.1.3.5.1、11.1.1.6.0、11.1.1.7.0  
CVE-2013-3772
 Oracle WebCenter Content HTTP Web Forms 4.3 网络 部分 10.1.3.5.1、11.1.1.6.0、11.1.1.7.0  
CVE-2013-3781
 Oracle Outside In Technology Outside In Filter 1.5 本地 一次性 部分+ 8.3.7、8.4.0、8.4.1 参见注释 3
CVE-2013-3776
 Oracle Outside In Technology Outside In Filter 1.5 本地 一次性 部分+ 8.3.7、8.4.0、8.4.1 参见注释 3
 

 

注:

  1. 2013 年 6 月 18 日,Oracle 发布了 Java SE 重要补丁更新来解决影响 Java 运行时环境的多个漏洞。Oracle CVE-2013-2461 指的是 Java SE 重要补丁更新中适用于 JRockit 的公告漏洞。在 JRockit 已修复的漏洞中,这个漏洞号的 CVSS 评分最高。JRockit 中在 CVE-2013-2461 下解决的所有漏洞的完整列表如下:CVE-2013-2461、CVE-2013-2407、CVE-2013-2457、CVE-2013-1571 和 CVE-2013-2451
  2. 在所有支持的版本和补丁集中得到修复。
  3. Outside In Technology 是一个软件开发工具包 (SDK) 套件。它没有任何特定的相关协议。如果托管软件通过网络将收到的数据传递给 Outside In Technology 代码,则 CVSS 基本评分将升高到 6.8。

 

附录 — Oracle Hyperion

 

 

Oracle Hyperion 执行概要

 

该重要补丁更新包含 1 个适用于 Oracle Hyperion 的新安全修复程序。此漏洞必须通过身份验证才可远程利用,即必须有用户名和口令才能通过网络利用该漏洞。在此可获取此风险表的英语文本形式。

 

Oracle Hyperion 风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2013-3803
 Hyperion BI+ HTTP Intelligence Service 3.5 网络 一次性 部分 11.1.1.3、11.1.1.4.107 及早期版本、11.1.2.1.129 及早期版本、11.1.2.2.305 及早期版本  
 

 


 

附录 — Oracle Enterprise Manager Grid Control

 

 

Oracle Enterprise Manager Grid Control 执行概要

 

该重要补丁更新包含 2 个适用于 Oracle Enterprise Manager Grid Control 的新安全修复程序。这两个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。所有这些修复程序都不适用于仅客户端的安装(即,没有安装 Oracle Enterprise Manager Grid Control 的安装)。在此可获取此风险表的英语文本形式。

Oracle Enterprise Manager 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库Oracle 融合中间件部分中所列漏洞的影响。Oracle Enterprise Manager 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle Enterprise Manager 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle Enterprise Manager 产品,Oracle 建议客户将 2013 年 7 月的重要补丁更新应用于 Enterprise Manager 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 2013 年 7 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 1548709.1

 

Oracle Enterprise Manager Grid Control 风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2013-3758
 Enterprise Manager Base Platform HTTP Schema Management 4.3 网络 部分 EM Base Platform:10.2.0.5、11.1.0.1 EM DB Control:10.2.0.4、10.2.0.5、11.1.0.7、11.2.0.2、11.2.0.3 EM Plugin for DB:12.1.0.2、12.1.0.3  
CVE-2013-3791
 Enterprise Manager Base Platform HTTP User Interface Framework 4.3 网络 部分 EM Base Platform:10.2.0.5 EM DB Control: 11.1.0.7  
 

 


 

附录 — Oracle 管理软件

 

 

Oracle E-Business Suite 执行概要

 

该重要补丁更新包含 7 个适用于 Oracle E-Business Suite 的新安全修复程序。其中 4 个漏洞都无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

Oracle E-Business Suite 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库Oracle 融合中间件部分中所列漏洞的影响。Oracle E-Business Suite 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle E-Business Suite 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle E-Business Suite 产品,Oracle 建议客户将 2013 年 7 月的重要补丁更新应用于 Oracle E-Business Suite 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 Oracle E-Business Suite 11i 和 12 版重要补丁更新知识文档(2013 年 7 月)My Oracle Support 说明 1559732.1

 

Oracle E-Business Suite 风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2013-3756
 Oracle Landed Cost Management HTTP Shipment Workbench 5.5 网络 一次性 部分+ 部分+ 12.1.1、12.1.2、12.1.3  
CVE-2013-3767
 Oracle Application Object Library HTTP Oracle Access Gate 4.3 网络 部分 Access Gate 1.2.1  
CVE-2013-3777
 Oracle Application Object Library HTTP Signon 4.3 网络 部分 11.5.10.2、12.0.6、12.1.3  
CVE-2013-3778
 Oracle Applications Technology Stack HTTP Help 4.3 网络 部分 12.0.6、12.1.3  
CVE-2013-3788
 Oracle iSupplier Portal HTTP Supplier Management 4.3 网络 部分 11.5.10.2、12.0.6、12.1.1、12.1.2、12.1.3  
CVE-2013-3747
 Oracle Applications Technology Stack HTTP Client System Analyzer 4.0 网络 一次 部分 11.5.10.2、12.0.6、12.1.3  
CVE-2013-3749
 Oracle Application Object Library HTTP Logging 3.5 网络 一次性 部分 11.5.10.2、12.0.6、12.1.3  
 

 



 

Oracle Supply Chain 产品套件执行概要

 

该重要补丁更新包含 4 个适用于 Oracle Supply Chain 产品套件的新安全修复程序。其中 1 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

 

Oracle Supply Chain 产品套件风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2013-3822
 Oracle Agile PLM Framework HTTP Web Client (CS) 4.3 网络 部分 9.3.1  
CVE-2013-3824
 Oracle Agile Collaboration Framework HTTP Manufacturing/Mfg Parts 4.0 网络 一次性 部分 9.3.1  
CVE-2013-3825
 Oracle Agile Product Collaboration HTTP Folders & Files Attachment 4.0 网络 一次性 部分 9.3.1  
CVE-2013-3823
 Oracle Agile PLM Framework HTTP Security 3.5 网络 一次性 部分 9.3.1  
 

 



 

Oracle PeopleSoft 产品执行概要

 

该重要补丁更新包含 10 个适用于 Oracle PeopleSoft 产品的新安全修复程序。其中 8 个漏洞无需身份验证即可远程利用,即可以通过网络使用此漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

 

Oracle PeopleSoft 产品风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2013-3800
 PeopleSoft Enterprise PeopleTools HTTP Business Interlinks 6.4 网络 部分 部分 8.51、8.52、8.53  
CVE-2013-3821
 PeopleSoft Enterprise PeopleTools HTTP Integration Broker 6.4 网络 部分 部分 8.51、8.52、8.53  
CVE-2013-3819
 PeopleSoft Enterprise PeopleTools HTTP Mobile Applications 6.4 网络 部分 部分 8.51、8.52、8.53  
CVE-2013-3784
 PeopleSoft Enterprise HRMS HTTP Time and Labor 5.5 网络 一次性 部分 部分 9.1  
CVE-2013-3820
 PeopleSoft Enterprise PeopleTools HTTP Business Interlink 5.0 网络 部分 8.51、8.52、8.53  
CVE-2013-3761
 PeopleSoft Enterprise PeopleTools HTTP PIA Core Technology 4.3 网络 部分 Portal 9.1、PeopleTools 8.52  
CVE-2013-3759
 PeopleSoft Enterprise PeopleTools HTTP PIA 搜索功能 4.3 网络 部分 8.52、8.53  
CVE-2013-3818
 PeopleSoft Enterprise PeopleTools HTTP Portal 4.3 网络 部分 8.51、8.52、8.53  
CVE-2013-3768
 PeopleSoft Enterprise PeopleTools HTTP Rich Text Editor 4.3 网络 部分 8.51、8.52、8.53  
CVE-2013-3780
 PeopleSoft Enterprise Portal HTTP Saved Search 4.0 网络 一次性 部分 9.1  
 

 



 

Oracle iLearning 执行概要

 

该重要补丁更新包含 1 个适用于 Oracle iLearning 的新安全修复程序。此漏洞无需身份验证即可远程利用,即可以通过网络使用此漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

 

Oracle iLearning 风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2013-3775
 Oracle iLearning HTTP Learner Pages 4.3 网络 部分 5.2.1、6.0  
 

 


 

附录 — Oracle 行业管理软件

 

 

Oracle 行业管理软件执行概要

 

该重要补丁更新包含 1 个适用于 Oracle 行业管理软件的新安全修复程序。此漏洞必须通过身份验证才可远程利用,即必须有用户名和口令才能通过网络利用该漏洞。在此可获取此风险表的英语文本形式。

 

Oracle 行业管理软件风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2013-3816
 Oracle Policy Automation 多个 Determinations Engine 4.0 网络 一次性 部分+ 10.2.0、10.3.0、10.3.1、10.4.0、10.4.1、10.4.2  
 

 


 

附录 — Oracle 和 Sun 系统产品套件

 

 

Oracle 和 Sun 系统产品套件执行概要

 

该重要补丁更新包含 16 个适用于 Oracle 和 Sun 系统产品套件的新安全修复程序。其中 8 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

 

Oracle 和 Sun 系统产品套件风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2013-3753
 Solaris TCP/IP 内核/STREAMS 框架 7.8 网络 11  
CVE-2013-3748
 Solaris iSCSI/iSER Driver/IDM (iSCSI Data Mover) 7.8 网络 11  
CVE-2013-3750
 Solaris Kernel/VM 7.2 本地 11 参见注释 1
CVE-2013-3754
 Solaris Cluster TimesTen 高可用性 7.2 本地 3.3  
CVE-2013-3746
 Solaris Cluster Zone Cluster Infrastructure 7.2 本地 3.2、3.3、4 至 4.1 SRU 3  
CVE-2013-3757
 Solaris NFS SMF/文件锁定服务 6.4 网络 部分 部分 8、9、10、11  
CVE-2013-3786
 Solaris 内核 6.0 本地 一次性 9、10、11  
CVE-2013-3813
 Solaris NFSv2 Libraries/PAM-Unix 5.8 网络 部分 部分 10  
CVE-2013-3773
 SPARC Enterprise M 系列服务器 HTTP XSCF Control Package (XCP) 5.0 网络 部分 XCP 1114 及早期版本  
CVE-2013-0398
 Solaris TCP/IP Utility/Remote Execution Server (in.rexecd) 5.0 网络 部分 8、9、10、11  
CVE-2013-3799
 Solaris 内核 4.9 本地 10、11 参见注释 2
CVE-2013-3765
 Solaris Kernel/VM 4.9 本地 11  
CVE-2013-3797
 Solaris Filesystem/DevFS 4.7 本地 11  
CVE-2013-3752
 Solaris NDMP 服务管理工具 (SMF) 4.3 网络 部分 11  
CVE-2013-3787
 Solaris SCTP 内核 4.3 网络 部分 10、11  
CVE-2013-3745
 Solaris 库/Libc 2.1 本地 部分+ 8、9、10、11  
 

 

注:

  1. 仅当 Solaris 在 X86 平台上运行时才会发生 CVE-2013-3750。
  2. 仅当 Solaris 在 AMD64 平台上运行时才会发生 CVE-2013-3799。

 

附录 — Oracle Linux 和 Oracle 虚拟化

 

 

Oracle 虚拟化执行概要

 

该重要补丁更新包含两个适用于 Oracle 虚拟化的新安全修复程序。这两个漏洞无需身份验证即可远程利用,即可以通过网络使用此漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

 

Oracle 虚拟化风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2013-3779
 Secure Global Desktop HTTP Web UI 7.5 网络 部分 部分 部分 所有 4.6 版本,包括 4.63、4.7 至 4.71  
CVE-2013-3782
 Secure Global Desktop HTTP Web UI 4.3 网络 部分 4.6 至 4.63、4.7 至 4.71  
 

 


 

附录 — Oracle MySQL

 

 

Oracle MySQL 执行概要

 

该重要补丁更新包含 18 个适用于 Oracle MySQL 的新安全修复程序。其中 2 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

 

Oracle MySQL 风险表


漏洞号 组件 协议 子组件 无需身份验证即可远程利用? CVSS 版本 2.0 风险(参阅风险表定义 受影响的支持版本 说明
基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性
CVE-2013-1861
 MySQL Server MySQL 协议 GIS 6.8 网络 一次性 5.1.69 及早期版本、5.5.31 及早期版本、5.6.11 及早期版本  
CVE-2013-3798
 MySQL Server MySQL 协议 MemCached 5.8 网络 部分 部分+ 5.6.11 及早期版本  
CVE-2013-3809
 MySQL Server MySQL 协议 Audit Log 4.0 网络 一次性 部分 5.5.31 及早期版本、5.6.11 及早期版本  
CVE-2013-3793
 MySQL Server MySQL 协议 数据操作语言 4.0 网络 一次性 部分+ 5.5.31 及早期版本、5.6.11 及早期版本  
CVE-2013-3795
 MySQL Server MySQL 协议 数据操作语言 4.0 网络 一次性 部分+ 5.6.11 及早期版本  
CVE-2013-3802
 MySQL Server MySQL 协议 全文本搜索 4.0 网络 一次性 部分+ 5.1.69 及早期版本、5.5.31 及早期版本、5.6.11 及早期版本  
CVE-2013-3806
 MySQL Server MySQL 协议 InnoDB 4.0 网络 一次性 部分+ 5.6.11 及早期版本  
CVE-2013-3805
 MySQL Server MySQL 协议 预处理语句 4.0 网络 一次性 部分+ 5.5.30 及早期版本、5.6.10  
CVE-2013-3804
 MySQL Server MySQL 协议 服务器优化器 4.0 网络 一次性 部分+ 5.1.69 及早期版本、5.5.31 及早期版本、5.6.11 及早期版本  
CVE-2013-3796
 MySQL Server MySQL 协议 服务器优化器 4.0 网络 一次性 部分+ 5.6.11 及早期版本  
CVE-2013-3808
 MySQL Server MySQL 协议 服务器选项 4.0 网络 一次性 部分+ 5.1.68 及早期版本、5.5.30 及早期版本、5.6.10  
CVE-2013-3801
 MySQL Server MySQL 协议 服务器选项 4.0 网络 一次性 部分+ 5.5.30 及早期版本、5.6.10  
CVE-2013-3783
 MySQL Server MySQL 协议 Server Parser 4.0 网络 一次性 部分+ 5.5.31 及早期版本  
CVE-2013-3794
 MySQL Server MySQL 协议 服务器分区 4.0 网络 一次性 部分+ 5.5.30 及早期版本、5.6.10  
CVE-2013-3807
 MySQL Server MySQL 协议 服务器权限 4.0 网络 部分 部分 5.6.11 及早期版本  
CVE-2013-3811
 MySQL Server MySQL 协议 InnoDB 3.5 网络 一次性 部分+ 5.6.11 及早期版本  
CVE-2013-3812
 MySQL Server MySQL 协议 服务器复制 3.5 网络 一次性 部分+ 5.5.31 及早期版本、5.6.11 及早期版本  
CVE-2013-3810
 MySQL Server MySQL 协议 XA 事务 3.5 网络 一次性 部分+ 5.6.11 及早期版本