重要修補程式更新計劃

針對Oracle產品中的安全漏洞的修補程式的主要機制是季度重要修補程式更新(CPU)計劃。 重要修補程式更新的發行日期會提前一年公告,並發布於重要修補程式更新與安全提醒頁面。 修補程式會修補重大安全弱點,並含有安全性修正程式所必備的程式碼修正。

所有產品接收CPU的安全性更新,皆可在My Oracle Support的Oracle Support使用。 請點選以下連結,了解有關Oracle’安全修復政策的更多資訊。

安全警報計劃

安全提醒為發布弱點修正程式的機制。 安全提醒在 2004 年 8 月前一直是發布安全性修正程式的主要管道。 2005年1月起,Oracle開始使用重要修補程式更新定期發佈修補程式

如果客戶遭遇特殊或危險的威脅事件,Oracle 可能會發出安全提醒。 在這種情況下,客戶將透過電子郵件通知 收到來自 My Oracle SupportOracle Technology Network的安全警報。 安全警告中的修補程式也將會包含在後續的重要修補更新中

累積性與一次性修補程式

Oracle盡可能地嘗試使重要修補程式更新累積。也就是說,每個重要修補程式更新都包含以前所有重要修補程式更新中的安全修復程式。 就實務層面而言,如果只使用接收累積修正的產品,則只需套用最新的重要修補程式更新,因為其中已含有一切必要修正。

至於無法收到累積修正的其他產品,則會以一次性修補程式的形式發布修正程式。 針對這類產品,請務必參考先前的重要修補程式更新建議事項,找出可能必須套用之所有修補程式。

安全錯誤修正的發布

Oracle 的政策是,只有當安全修復程式可用於指定的產品版本和平台組合時,才會盡可能公佈安全修復程式。 然而,有兩種例外情況不在此政策適用範圍內:

1. 根據需求計畫: 針對特定產品版本和平台組合,其修補程式的客戶下載次數在歷史記錄中偏低,則 Oracle 不會有系統地製作修補程式。 必須由客戶提出要求,才會製作相關修補程式。 根據需求計畫以及為最近或未來的CPU請求此類修補程序的程序,在每個重要修補程式更新版本中附帶的Patch Availability Document檔案中有詳細說明。

2. 修補程式最長會在公告日期兩週後才推出,通常是因為在製作或測試階段發生了技術問題。

請注意,特定版本平台產品組合的重要修補程式更新,在特定情況下可能同時包含已公告及未公告的弱點修正。 如果有未公告的弱點修正程式隨附於特定重要修補程式更新的修補程式,可能是因為已經修正該弱點的某些部份,或是該修正程式僅適用於特定產品的部分版本平台組合。

安全錯誤修正與修補程式套件

安全性修正也會隨附於修補程式集 (或類似內容) 及新的產品發行版本。 Oracle 採取的政策,是在後續的修補程式集和產品發行版本中,加入單次重要修補程式更新中的所有安全性修正。 如果因發布的時機而無法實施上述做法,Oracle 會製作一個修補程式,其中包含最新重要修補程式更新的修正程式,可套用於新發布的修補程式集或產品發行版本的上層。

修正安全漏洞的順序

為了向所有Oracle客戶提供最佳安全狀態,Oracle根據他們向客戶提出的可能風險修復重大安全漏洞。 因此,最嚴重風險的問題將最先獲得解決。 安全弱點修正程式的製作順序如下:

  • Main code line first—是產品的下一個主要版本開發的代碼行
  • 針對易受攻擊的每個支援版本:
    • 若計畫為該支援版本出另一個修補程式集,漏洞會在下一個修補程式集修復
    • 產生重要修補程式更新

請注意,Oracle強烈建議客戶僅使用受支援的產品版本,並且客戶應對其使用的版本立即啟用更新關鍵修補程式。 因為對於終止支援的版本Oracle並不會提供修正程式 但是,它們很可能容易受到CPU修補程式修復的漏洞攻擊,惡意攻擊者經常對CPU修補程式進行逆向工程,並以此為武器,並在每個CPU發布後不久嘗試惡意利用這些問題。

重要提示: 請注意,Oracle建議將Critical Patch Update重要修補程式作為更新受影響產品以確保安全的主要手段,因為Critical Patch Update會比一般修補程式或是產品版本更頻繁地更新。

重大修補程式更新文件

每次重要修補程式更新都具有諮詢內容,做為其最上層文件。 此諮詢內容會列出受影響的產品,並含有各產品套件的風險對照表。

風險矩陣

風險對照表提供資訊,協助客戶針對特定環境評估安全弱點造成的風險。 這些對照表可辨識出最高風險的系統,以便優先進行修補。 重要修補程式更新所修正的各項安全弱點,會列於相關產品的一系列風險對照表中。

共通弱點評估系統 (CVSS)

2006 年 10 月,Oracle 捨棄標示風險對照表中安全弱點相對嚴重性的專利做法,改而採用共通弱點評估系統 (CVSS)。 FIRST’ 網站將CVSS描述為評級系統,“旨在提供全球標準中軟體漏洞開放的嚴重等級。“ CVSS 是評估安全性弱點嚴重性的標準化方法。 針對甫透過重要修補程式更新修正的各弱點,Oracle 提供了 CVSS 指數,可指出入侵弱點的先決條件、入侵簡易度,以及攻擊既遂後對目標系統機密性、完整性、可用性 (CIA) 的影響。 CVSS 使用一組公式,將這項資訊換算為 0.0 至 10.0 的基礎分,其中 10.0 表示最嚴重的弱點。 風險指數會依 CVSS 基礎分排序,最嚴重的弱點列於最頂端。 Oracle 於 2016 年 4 月採用 CVSS 標準 3.0 版並使用至今。 Oracle使用Common Vulnerability Scoring System(CVSS)並提供Oracle的風險建議中,CVSS評級的詳細說明。’

常見弱點與漏洞 (CVE)

Oracle 使用常見弱點與漏洞 (CVE) 編號,在安全提醒諮詢內容中辨識風險對照表所列的弱點。 CVE 編號為安全弱點相關的公開資訊通用的唯一識別碼。 CVE 計畫是由美國國土安全部的網路安全與通訊處共同資助進行,並由 MITRE 公司負責管理。 Oracle 是 CVE 編號機構 (CNA),可針對其產品中的弱點發布 CVE 編號。 請注意,Oracle安全建議中CVE編號的排序不一定與發現它們引用的漏洞日期相同。 換句話說,CVE 編號的指派順序,並不是依照發布時所提供修正程式的弱點發現日期。 這是因為 Oracle 這類的 CVE 編號機構 (CNA) 會定期從 MITRE 收到 CVE 編號集,因此不需要在每次發現弱點時就個別申請新的 CVE 編號。 Oracle 從 CVE 編號集區中依序將 CVE 編號指派給各個弱點,其中編號集區是排定發布修正程式的大約 3、4 週前,由 CVE 組織透過重要修補程式更新計畫指派。

執行摘要

為了讓機構能快速評估重要修復更新所修復的安全問題的重要性,該重要修復更新所針對的每一個產品,Oracle會提供一份執行摘要,其中含有那些安全問題的高階簡要說明 本執行摘要以簡明的英語,解釋重要修補程式更新所解決的漏洞。

重大的修補程式更新發布前公告

Oracle 會在每次重要修補程式更新發布的前一個星期四,發布重要修補程式更新文件的摘要。 這份摘要稱為「重要修補程式更新發出前公告」,會針對即將發布之重要修補程式更新提供進階資訊,包括:

  • 受新弱點影響的 Oracle 產品名稱和版本編號,前述新弱點將於該次重要修補程式更新中修正
  • 各產品套件適用的安全性修正程式數量
  • 各產品套件的最高 CVSS 基礎分數
  • 還可能有其他相關資訊,可協助組織針對在環境中套用重要修補程式更新進行規劃

Oracle 會盡可能確保每次發布前公告在發布時的準確性,但每次重要修補程式更新的實際內容可能在發行發布前公告後仍有變動。 因此,重要修補程式更新諮詢內容,應視為重要修補程式更新實際內容的唯一正確說明。