Kritik Yama Güncellemesi Programı

Oracle ürünlerinde güvenlik açığı düzeltmelerinin eski sürümlere taşınması açısından birincil mekanizma, üç ayda bir gerçekleştirilen Kritik Yama Güncellemesi (CPU) programıdır. Kritik Yama Güncellemeleri bir yıl önce duyurulan tarihlerde ve Kritik Yama Güncellemeleri Güvenlik Uyarıları sayfasında yayınlanır. Yamalar, önemli güvenlik açıklarını çözer ve aynı zamanda güvenlik düzeltmeleri için önkoşul olan kod düzeltmelerini içerir.

Aktif Oracle Support müşterileri CPU'ların uygulandığı tüm ürünlere ilişkin güvenlik güncellemelerine My Oracle Support web sitesinden ulaşabilir. Oracle’ın Güvenlik Düzeltme politikaları hakkında daha fazla bilgi edinmek için aşağıdaki bağlantıları izleyin.

Güvenlik Uyarıları Programı

Güvenlik Uyarıları, bir veya birkaç adet güvenlik açığı düzeltmesi için bir yayınlama mekanizmasıdır. Güvenlik Uyarıları, Ağustos 2004 tarihine dek güvenlik düzeltmeleri açısından ana sürüm aracı olarak kullanılmıştır. Ocak 2005 tarihinde ise Oracle düzeltmeleri Kritik Yama Güncellemelerini kullanarak belirli bir programda yayınlamaya başlamıştır.

Oracle, müşterilerimiz için daha önce karşılaşılmamış veya tehlikeli bir tehdidin söz konusu olması durumunda Güvenlik Uyarısı yayınlayabilir. Böyle bir durumda, müşteriler My Oracle Support ve Oracle Teknoloji Ağı üzerinden e-posta bildirimi gönderilerek bilgilendirilecektir. Güvenlik Uyarısında yer alan düzeltme aynı zamanda sonraki Kritik Yama Güncellemesine de dahil edilecektir.

Kümülatif – Tek Seferlik Yamalar

Oracle mümkün olduğunca Kritik Yama Güncellemelerini kümülatif yapmaya çalışmaktadır; yani Kritik Yama Güncellemesi önceki tüm Kritik Yama Güncellemelerinde yer alan güvenlik düzeltmelerini içermektedir. Pratik olarak kümülatif düzeltmelerin uygulandığı ürünler için, yalnızca ilgili ürünlerin kullanılması durumunda tüm gerekli düzeltmeleri içerdiğinden son Kritik Yama Güncellemesi yeterli olacaktır.

Kümülatif düzeltmelerin uygulanmadığı diğer ürünlere ilişkin düzeltmeler tek seferlik yamalar halinde yayınlanır. Bu tür ürünler söz konusu olduğunda, uygulamanın gerekli olabileceği tüm yamaları bulmak için önceki Kritik Yama Güncellemesi önerilerine başvurulmalıdır.

Güvenlik Düzeltmelerine İlişkin Duyuru

Oracle, tüm etkilenen ve desteklenen ürün sürümü ve platform kombinasyonları için düzeltmeler mevcut olduğunda, güvenlik düzeltmelerini mümkün olduğunca duyurmaktadır. Ancak bu politikaya ilişkin iki istisna söz konusudur:

1. Talep Üzerine program. Oracle, müşteriler tarafından geçmişte çok az yama indirmesi yapılan belirli ürün sürümü ve platform kombinasyonları için sistematik olarak yama üretmemektedir. Bu tür yamalar, müşteriler tarafından talep edilmelidir. Talep üzerine program ve yakın zamandaki veya gelecekteki CPU'lara yönelik yamaların nasıl talep edileceği, her bir Kritik Yama Güncellemesi sürümü ile birlikte sunulan Yama Kullanılabilirliği Dokümanında ayrıntılı olarak açıklanmaktadır.

2. Yama kullanılabilirliğinde duyuru tarihinden itibaren iki haftaya kadar yaşanan ufak gecikmeler genellikle yamanın üretim veya test aşamasında meydana gelen teknik sorunlardan kaynaklanmaktadır.

Bazı durumlarda belirli sürüm-platform ürün kombinasyonlarına ilişkin Kritik Yama Güncellemelerinin duyurulan ve duyurulmayan güvenlik açığı düzeltmelerini içerebileceğini unutmayın. Güvenlik açığının tamamı değil ancak bazı parçaları düzeltildiğinde veya belirli bir ürünün sürüm-platform kombinasyonunun tamamı değil ancak bazı parçaları için düzeltme bulunduğunda belirli bir Kritik Yama Güncellemesine duyurulmamış bir güvenlik açığı düzeltmesi dahil edilebilir.

Güvenlik Düzeltmeleri ve Yama Setleri

Güvenlik düzeltmeleri aynı zamanda yama setlerine (veya eşdeğeri) ve yeni ürün sürümlerine dahil edilir. Oracle, sonraki yama setlerine ve ürün sürümlerine Kritik Yama Güncellemesi ile tüm güvenlik düzeltmelerini dahil etme politikasını benimsemiştir. Sürümün tarihinden dolayı mümkün olmayan durumlarda Oracle, yeni yayınlanan yama setine veya ürün sürümüne uygulanabilecek şekilde son Kritik Yama Güncellemesi düzeltmelerini içeren bir yama oluşturur.

Güvenlik Açıklarını Düzeltme Sırası

Oracle, tüm Oracle müşterilerine en iyi güvenlik düzeyini sunmak için önemli güvenlik açıklarını müşteriler açısından teşkil ettikleri olası risklere göre düzeltmektedir. Böylece daima en yüksek düzeydeki riskler ilk önce çözülür. Güvenlik açıklarına ilişkin düzeltmeler aşağıdaki sıraya göre oluşturulur:

  • Önce ana kod satırı—bir sonraki ana ürün sürümü için geliştirilen kod satırıdır
  • Açık bulunan her bir desteklenen sürüm için:
    • Desteklenen sürüm için başka bir yama seti yayınlanması planlanıyorsa sonraki yama setinde düzeltilir
    • Kritik Yama Güncellemesi yamasının oluşturulması

Oracle'ın müşterilere, yalnızca desteklenen ürün sürümlerini kullanmalarını ve kullandıkları sürümlere ilişkin kritik yama güncellemesi düzeltmelerini vakit kaybetmeden uygulamalarını şiddetle tavsiye ettiğini unutmayın. Oracle destek dışı ürün sürümleri için düzeltme sağlamamaktadır. Ancak CPU yamaları ile düzeltilen güvenlik açıklarına karşı olasılıkla savunmasızlardır ve kötüye kullanmak isteyen kişiler her bir CPU yayınlandıktan kısa süre sonra sıklıkla CPU düzeltmelerine ters mühendislik uygulamakta, bu düzeltmeleri silah haline getirmekte ve bu sorunları kötüye kullanmaya çalışmaktadır.

Önemli not: Kritik Yama Güncellemeleri yama setlerinden veya yeni ürün sürümlerinden daha sık yayınlandığından Oracle'ın müşterilere, ilgili tüm ürünlere ilişkin güvenlik düzeltmelerine yetişmek için birincil yöntem olarak Kritik Yama Güncellemesini kullanmalarını önerdiğini unutmayın.

Kritik Yama Güncellemesi Dokümantasyonu

Her bir Kritik Yama Güncellemesi, üst düzey doküman olarak bir öneri dokümanı içerir. Bu önerilerde ilgili ürünler listelenmekte ve her bir ürün setine ilişkin risk matrisi yer almaktadır.

Risk Matrisleri

Risk matrisleri, müşterilerin söz konusu ortamdaki güvenlik açıklarından kaynaklanan riski değerlendirebilmesine yardımcı olmaktadır. Öncelikli olarak yama düzeltmesi yapılması için en yüksek riskteki sistemleri tanımlamak üzere kullanılabilir. Kritik Yama Güncellemesinde düzeltilen her yeni güvenlik açığı, ilgili ürünün risk matrisinde bir satırda listelenir.

Genel Güvenlik Açığı Puanlama Sistemi (CVSS)

Ekim 2006 tarihinde Oracle, risk matrislerindeki güvenlik açıklarının ilgili derecelerini belirtmek üzere kullanılan patentli bir yöntemden Genel Güvenlik Açığı Puanlama Sistemine (CVSS) geçiş yaptı. FIRST web sitesinde CVSS, “yazılım açıklarının derecelendirilmesinde açık ve evrensel bir standart sağlamak üzere tasarlanmış bir derecelendirme sistemi olarak tanımlanmaktadır.“ CVSS, güvenlik açıklarının derecesini değerlendirmede kullanılan standart bir yöntemdir. Oracle, Kritik Yama Güncellemesinde yeni düzeltilen her güvenlik açığı konusunda, açıklardan yararlanma için gerekli önkoşulları ve bu tür yararlanma kolaylığını ve hedeflenen sisteme yapılan başarılı bir saldırının gizlilik, bütünlük ve kullanılabilirlik (CIA) açısından etkilerini belirterek CVSS metriklerinin değerlerini sunar. CVSS, bir formül kullanarak bu bilgileri 10,0 en yüksek dereceli güvenlik açığını temsil edecek şekilde, 0,0 ve 10,0 arasında bir Taban Puana dönüştürür. Risk matrisleri, CVSS Taban Puanına göre, en yüksek dereceli güvenlik açığı en üstte olacak şekilde sıralanır. Oracle Nisan 2016 tarihinden itibaren CVSS standardının 3.0 sürümünü kullanmaktadır. Oracle tarafından sunulan Genel Güvenlik Açığı Puanlama Sistemi (CVSS), CVSS derecelerinin Oracle’ın risk önerilerinde nasıl uygulandığına dair ayrıntılı bir açıklama sunar.

Genel Güvenlik Açıkları ve Kapsamları (CVE)

Genel Güvenlik Açıkları ve Kapsamları (CVE) numaraları, Oracle tarafından Kritik Yama Güncellemesi ve Güvenlik Uyarısı önerilerindeki risk matrislerinde listelenen güvenlik açıklarını tanımlamak üzere kullanılmaktadır. CVE numaraları, güvenlik açıklarına ilişkin genel bilgilerin genel tanımlayıcılarıdır ve benzersizdir. CVE programı, ABD İç Güvenlik Bakanlığı'ndaki Siber Güvenlik ve İletişim birimi eş sponsorluğunda, MITRE şirketi tarafından yönetilmektedir. Oracle, bir CVE Numaralandırma Yetkilisi'dir (CNA); yani ürünlerindeki güvenlik açıklarına CVE numaraları atayabilen şirkettir. Oracle'ın güvenlik önerilerinde yer alan CVE numaralarının sırasının ilgili güvenlik açıklarının keşfedildiği tarihlere karşılık gelmeyebileceğini unutmayın. Bir başka ifadeyle, CVE numaraları düzeltmelerin yayınlandığı ilgili güvenlik açıklarının keşfedildiği tarih sırasına göre atanmamaktadır. Bunun nedeni, Oracle gibi CVE Numaralandırma Yetkilileri'nin (CNA'lar) her güvenlik açığı keşfedildiğinde yeni bir CVE oluşturulması için ayrı ayrı talepler iletilmesine gerek kalmaması için MITRE'den periyodik olarak CVE numarası setleri almasıdır. Oracle, güvenlik açıklarına Kritik Yama Güncellemesi programı aracılığıyla programlanan düzeltme dağıtımından yaklaşık 3 ila 4 hafta önce CVE kuruluşu tarafından atanan CVE numarası havuzundan sırasıyla CVE numaraları atar.

İdari Özet

Oracle, kuruluşların Kritik Yama Güncellemesinde düzeltilen olası güvenlik sorunlarının önemini hızlı bir şekilde değerlendirebilmesine yardımcı olmak adına, Kritik Yama Güncellemesinde ele alınan her bir üründeki güvenlik sorunlarının genel hatlarıyla özetlendiği bir idari özet sunar. Bu idari özette, Kritik Yama Güncellemesinde ele alınan güvenlik açıklarının oldukça anlaşılır bir dille açıklaması sunulmaktadır.

Kritik Yama Güncellemesi Yayınlama Öncesi Duyuru

Oracle, her Kritik Yama Güncellemesi yayınlanmadan önceki Perşembe günü Kritik Yama Güncellemesi Dokümantasyonuna ilişkin bir özet yayınlar. Kritik Yama Güncellemesi Yayın Öncesi Duyuru adlı bu özette, yayınlanacak olan Kritik Yama Güncellemesine ilişkin ayrıntılı bilgiler yer alır, örneğin:

  • Kritik Yama Güncellemesinde düzeltilen yeni güvenlik açıklarının geçerli olduğu Oracle ürünlerinin adı ve sürüm numaraları
  • Her ürün setine ilişkin güvenlik düzeltmelerinin sayısı
  • Her ürün setine ilişkin en yüksek CVSS taban puanı
  • Potansiyel olarak kuruluşların Kritik Yama Güncellemesini ortamlarına uygulama planını oluşturmalarına yardımcı olabilecek diğer tüm bilgiler

Oracle her bir Yayın Öncesi Duyurunun yayınlandığı tarih itibarıyla mümkün olan en yüksek düzeyde doğru olmasını sağlamaktadır ancak ilgili Yayın Öncesi Duyuru yayınlandıktan sonra her Kritik Yama Güncellemesinin içeriği değiştirilebilir. Bu nedenle Kritik Yama Güncellemesi Önerileri, Kritik Yama Güncellemesinin asıl içeriğine ilişkin tek doğru açıklama olarak kabul edilmelidir.