安全漏洞修复策略和流程

以下文档介绍了 Oracle 在 Oracle 软件安全性保障下修复安全漏洞所依据的策略和流程。

重要补丁更新

安全漏洞修复程序会在每季度的“重要补丁更新”中发布。这些修复会于提前一年公布的发布日期发布在 Oracle 技术网“重要补丁更新”页面上。这些补丁可以解决重大的安全漏洞,并包含安全修复所必需的修复程序。

修补的主要产品有 Oracle 数据库服务器、Oracle 应用服务器、Oracle 企业管理器、Oracle 协作套件、Oracle 电子商务套件、PeopleSoft Enterprise 工具、PeopleSoft CRM、JD Edwards EnterpriseOne 和 JD Edwards OneWorld XE。所有产品的更新都在同一天发布。Oracle 产的更新在 MetaLink、Oracle 支持网站以及 PeopleSoft 和 JD Edwards 产品的客户连接上提供。

累积式补丁与一次性补丁

Oracle 数据库服务器、Oracle 应用服务器、Oracle 企业管理器和 Oracle 协作套件补丁都是累积式的;每个“重要补丁更新”都包含自之前所有重要补丁更新以来的安全修复程序。实际上,如果您仅使用以上这些产品,就只需应用最新的“重要补丁更新”即可,因为它包含了所有必要修复程序。其他产品的修复程序均是一次性补丁,因此必须参考先前的“重要补丁更新”报告,查找所有可能需要应用的补丁。

安全修复程序还包括在补丁集(或等价物)和新产品版本中。Oracle 致力在随后的补丁集和产品版本的“重要补丁更新”中包含所有安全修复程序。如果由于版本的时间原因而无法实现,我们会创建一个包含最新“重要补丁更新”修复程序的补丁,您可将其应用于新发布的补丁集或产品版本上。

修复安全漏洞的顺序

Oracle 按照严重性等级顺序修复重大安全漏洞。我们相信该做法可确保最先修复最重要的问题,从而更好地保护客户。

我们会首先修复当前代码中的安全漏洞。所谓当前代码是指针对该产品的未来主要版本开发的代码。

根据计划,未来的“重要补丁更新”中将包含修复程序。然而,在加入未来“重要补丁更新” 之前 发布的修复程序会留下后向接口,以便将这些修复程序添加到未来的补丁集或产品版本中。

直到在重要补丁更新中修复了这些安全漏洞,即所波及到的所有产品版本和平台都有了修复程序后,我们才会发布安全修复程序。

将安全修复程序包含在未来补丁集和产品版本中,可为客户提供更多修补策略选择。我们还相信,在补丁集和产品版本中包含安全修复程序的做法可给予客户最大限度的保护,并将后续修补成本降至最低。

我们建议,将每个“重要补丁更新”应用于所有受影响的产品。利用补丁集更新的系统或通过新产品版本升级的系统都将获得先前包含在补丁集或版本中的安全修复程序。虽然可以将这作为一种应用安全修复程序的方法,但“重要补丁更新”仍是应用安全修复程序的主要方法,因为较之补丁集和新产品版本,这些更新的发布更为频繁。

下图显示了一个假设示例,其中新产品版本和补丁集的发布介于修复的安全漏洞和“重要补丁更新”中发布的修复程序之间。

示例:安全漏洞修复时间表

 

“重要补丁更新”文档

每个“重要补丁更新”都有一个建议作为其顶级文档,其中列出了受影响的产品,并包含每个产品的风险表。

为了防止客户遭遇不当风险,除“重要补丁更新”(或“安全警报”)建议、发布前说明、安装前说明、自述文件以及常见问题解答中的内容外,Oracle 不提供有关漏洞细节的其他信息。此外,Oracle 为所有客户提供相同的信息,以平等地保护所有客户。Oracle 不会向个别客户提供事先通知。最后,Oracle 不会针对我们产品中的漏洞开发或发布可利用的入侵代码(或“验证性代码”)。

风险表

风险表提供的信息有助于客户评估特定环境下的安全漏洞所带来的风险。客户可以利用这些信息识别最易受到攻击的系统,从而最先修补这些系统。“重要补丁更新”中修复的每个新安全漏洞都会列在其影响的产品的风险表中。

常见漏洞评估系统 (CVSS)

在 2006 年 10 月,Oracle 从专用方法(在风险表中指出安全漏洞的相关严重性等级)转为使用常见漏洞评估系统 (CVSS)。 FIRST 网站将 CVSS 描述为一个等级系统,“ 旨在提供开放、一致的软件漏洞标准严重性评级”。CVSS 是评估安全漏洞的标准方法。

对于“重要补丁更新”中每个新修复的漏洞,Oracle 都会提供 CVSS 基准值,以指出:

  • 利用漏洞所需的前提条件和利用的容易程度;以及
  • 针对机密性、完整性和可用性成功攻击目标系统所造成的影响。

CVSS 使用公式将该信息转换为 0.0 到 10.0 之间的基本评分,其中 10.0 表示最严重的漏洞。风险表使用该值进行排序,最严重的漏洞位于最前面。

MetaLink 说明 394487.1(需要订阅)提供了如何在 CPU 说明文档中应用 CVSS 等级的详细说明。

执行概要

为了帮助组织快速评估“重要补丁更新”中修复的潜在安全问题的重要性,Oracle 提供了一个执行概要,以概述“重要补丁更新”在每个产品中解决的安全缺陷。该执行概要提供的是“重要补丁更新”中解决的漏洞的“纯英文”说明。

重要补丁更新发布前通告

自 2007 年 1 月起,Oracle 将在发布每个“重要补丁更新”之前先发布“重要补丁更新”文档摘要。此摘要(称为“重要补丁更新发布前通告”)将提供即将发布的“重要补丁更新”的预告信息,包括:

  • 在“重要补丁更新”中修复的新漏洞所影响的 Oracle 产品的名称和版本号
  • 针对每个产品套件的安全修复程序数量
  • 针对每个产品套件的最高 CVSS 基本评分
  • 以及其他可能的相关信息,以帮助组织规划“重要补丁更新”在其环境中的应用

尽管 Oracle 尽力确保每个发布前通告在发布时尽可能地精确,但每个“重要补丁更新”的实际内容在发布前通告发布之后都可能会有所更改。因此,应该将“重要补丁更新公告”视为“重要补丁更新”的唯一准确说明。

报告漏洞奖励

Oracle 欢迎并尊重独立安全调查机构的成员发现漏洞、报告漏洞以及与我们携手修复问题,从而更好的保护我们的客户。

我们的政策是,报告问题的人员没有出现以下行为将会获得奖励:

  • 在我们发布针对漏洞的修复程序前没有公布该漏洞
  • 没有泄漏问题的详细信息,例如通过入侵代码或概念验证代码。

我们不给有上述行为的发现者奖励,是因为我们认为,上述两种行为会增加我们客户的风险。

Oracle 不会对 Oracle 及其分支机构的员工或签约人发现漏洞的行为给予奖励。

安全警报

“安全警报”是一种一个或少量错误的发布机制。

“安全警报”在 2004 年 8 月前一直是安全修复程序的主要发布途径。2005 年初,Oracle 开始在“重要补丁更新”中发布修复,但我们仍可在独特情形或对我们客户产生危险威胁的情况下发出安全警报。在这种情况下,客户将通过 MetaLinkOracle 技术网的电子邮件获得安全警报通知。该修复程序还将包含在下一个“重要补丁更新”中。

参考

Oracle 重要补丁更新与安全警报
Oracle 支持服务 MetaLink(要求帐户登录)
Oracle 安全技术中心
Oracle 软件安全性保障
false ,,,,,,,,,,,,,,,,