本页面以重要补丁更新 (CPU) 和安全警报的形式列出 Oracle 已发布的安全补丁。本页面将在发布了新的重要补丁更新和安全警报时更新,可以通过电子邮件接收发布通知。
单击此处获得关于如何配置电子邮件通知的指导。
单击此处阅读技术白皮书“重要补丁更新实施最佳实践”
重要补丁更新
我们主要以重要补丁更新形式向具有有效支持合同的客户发布 Oracle 产品安全修复程序。它们在距 1 月、4 月、7 月和 10 月的第 15 日最近的星期二发布。接下来的四个日期为:
- 2008 年 10 月 14 日
- 2009 年 1 月 13 日
- 2009 年 4 月 14 日
- 2009 年 7 月 14 日
每个 CPU 版发布之前的周四将发布预览版通告。
风险表
风险表提供的信息有助于客户评估特定环境下的安全漏洞所带来的风险。客户可以利用这些信息识别最易受到攻击的系统,从而最先修补这些系统。“重要补丁更新”中修复的每个新安全漏洞都会列在其影响的产品的风险表中。
常见漏洞评估系统 (CVSS)
在 2006 年 10 月,Oracle 从专用方法(在风险表中指出安全漏洞的相关严重性等级)转为使用常见漏洞评估系统 (CVSS)。FIRST 网站将 CVSS 描述为一个等级系统,“旨在提供开放、一致的软件漏洞标准严重性评级”。CVSS 是评估安全漏洞的标准方法。
对于“重要补丁更新”中每个新修复的漏洞,Oracle 都会提供 CVSS 基准值,以指出:
- 利用漏洞所需的前提条件和利用的容易程度;以及
- 针对机密性、完整性和可用性成功攻击目标系统所造成的影响。
CVSS 使用公式将该信息转换为 0.0 到 10.0 之间的基本评分,其中 10.0 表示最严重的漏洞。风险表使用该值进行排序,最严重的漏洞位于最前面。
MetaLink 说明 394487.1(需要订阅)提供了如何在 CPU 说明文档中应用 CVSS 等级的详细说明。
累积式补丁与一次性补丁
Oracle 数据库服务器、Oracle 应用服务器、Oracle 企业管理器和 Oracle 协作套件补丁都是累积式的;每个“重要补丁更新”都包含自之前所有重要补丁更新以来的安全修复程序。实际上,如果您仅使用以上这些产品,就只需应用最新的“重要补丁更新”即可,因为它包含了所有必要修复程序。其他产品的修复程序均是一次性补丁,因此必须参考先前的“重要补丁更新”报告,查找所有可能需要应用的补丁。
安全修复程序还包括在补丁集(或等价物)和新产品版本中。Oracle 致力在随后的补丁集和产品版本的“重要补丁更新”中包含所有安全修复程序。如果由于版本的时间原因而无法实现,我们会创建一个包含最新“重要补丁更新”修复程序的补丁,您可将其应用于新发布的补丁集或产品版本上。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/16573/viewspace-441868/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/16573/viewspace-441868/