Oracle 重要补丁更新 — 2006 年 7 月
说明
重要补丁更新是针对多个安全漏洞的补丁集合。它还包含这些安全补丁因依赖关系而需要的非安全修补程序。
支持的产品和受影响的组件
该重要补丁更新所解决的安全漏洞影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在产品版本后面的 [方括号] 中。请单击 [方括号] 中或
可用补丁表
中的链接,查看这些补丁的文档。
类别 I
错误更正支持 (ECS) 或扩展维护支持 (EMS) 涵盖的产品版本:
|
• Oracle 数据库 10
g
第 2 版,版本 10.2.0.1、10.2.0.2
|
[
数据库
]
|
|
• Oracle 数据库 10
g
第 1 版,版本 10.1.0.4、10.1.0.5
|
[
数据库
]
|
|
• Oracle9
i
数据库第 2 版,版本 9.2.0.6、9.2.0.7
|
[
数据库
]
|
|
• Oracle8
i
数据库第 3 版,版本 8.1.7.4
|
[
数据库
]
|
|
• Oracle 企业管理器 10
g
网格控制,版本 10.2.0.1
|
[
企业管理器
]
|
|
• Oracle 应用服务器 10
g
第 3 版,版本 10.1.3.0.0
|
[
应用服务器
]
|
|
• Oracle 应用服务器 10
g
第 2 版,版本 10.1.2.0.0 - 10.1.2.0.2、10.1.2.1.0
|
[
应用服务器
]
|
|
• Oracle 应用服务器 10
g
第 1 版 (9.0.4),版本 9.0.4.2、9.0.4.3
|
[
应用服务器
]
|
|
• Oracle 协作套件 10
g
第 1 版,版本 10.1.2.0
|
[
协作套件
]
|
|
• Oracle9
i
协作套件第 2 版,版本 9.0.4.2
|
[
协作套件
]
|
|
• Oracle 电子商务套件 11
i
版,版本 11.5.7 - 11.5.10 CU2
|
[
电子商务套件
]
|
|
• Oracle 电子商务套件 11.0 版
|
[
电子商务套件
]
|
|
• Oracle Pharmaceutical Applications 版本 4.5.0 - 4.5.2
|
[
制药
]
|
|
• Oracle PeopleSoft 企业门户解决方案、企业门户,版本 8.4、8.8、8.9
|
[
PeopleSoft/JDE
]
|
|
• Oracle PeopleSoft 企业门户解决方案、带有 Enforcer Portal Pack 的企业门户,版本 8.8
|
[
PeopleSoft/JDE
]
|
|
• JD Edwards EnterpriseOne Tools、OneWorld Tools,版本 8.95、8.96
|
[
PeopleSoft/JDE
]
|
类别 II
与类别 I 中所列产品捆绑在一起的产品和组件:
|
• Oracle 数据库 10
g
第 1 版,版本 10.1.0.4.2
|
[
应用服务器
]
|
|
• Oracle 应用服务器门户,版本 10.1.4.0.0
|
[
应用服务器
]
|
|
• Oracle 开发人员套件,版本 6
i
, 9.0.4.2
|
[
开发人员套件
] 和 [
电子商务套件
]
|
|
• Oracle Workflow,版本 11.5.1 到 11.5.9.5
|
[
电子商务套件
]
|
类别 III
单独安装不受支持但与类别 I 中所列产品一同安装可获支持的产品:
|
• Oracle9
i
数据库第 1 版,版本 9.0.1.4
|
[
协作套件
]
|
|
• Oracle9
i
数据库第 1 版,版本 9.0.1.5, 9.0.1.5 FIPS
|
[
应用服务器
]
|
|
• Oracle8 数据库 8.0.6 版,版本 8.0.6.3
|
[
应用服务器
] 和 [
电子商务套件
]
|
|
• Oracle9
i
应用服务器第 2 版,版本 9.0.2.3、9.0.3.1
|
[
协作套件
]
|
|
• Oracle9
i
应用服务器第 1 版,版本 1.0.2.2
|
[
电子商务套件
]
|
类别 III 中的产品只有在作为类别 I 中产品的一部分进行安装、并完全通过了受支持的配置和环境测试后,相应的补丁才可用。请参阅每种产品的文档,以了解有关补丁的支持与可用性的具体细节。
类别 IV
只在指定平台上支持的产品。请查阅其他文档以获得详细信息。
|
• Oracle 数据库 10
g
第 1 版,版本 10.1.0.3
|
[
数据库
]
|
|
• Oracle9
i
数据库第 2 版,版本 9.2.0.5
|
[
数据库
]
|
|
• Oracle 应用服务器 10
g
第 1 版 (9.0.4),版本 9.0.4.1
|
[
应用服务器
]
|
不受支持的产品
不受支持的产品、版本没有测试过是否存在可由该重要补丁更新修补的安全漏洞。 但是,早期的受影响版本的补丁集中可能会受这些安全漏洞的影响。 受支持的产品根据软件错误更正支持策略(MetaLink 说明
209768.1
)的第 4.3.3.3 部分进行了修补。
仅具有 Oracle 数据库客户端的安装
本重要补丁更新所修复的四个新的数据库漏洞将影响仅包含 Oracle 数据库客户端的安装(即,没有安装 Oracle 数据库的安装)。对于其中的三个漏洞,如果客户端连接到一个欺诈服务器,则这个不受信任的恶意服务器就会导致客户端终止。第四个漏洞允许不受信任的恶意服务器导致客户端终止,而且还允许在客户端上执行任意代码。
通过直接连接到恶意服务器或者通过数据库链接,都会将客户端置于这四个漏洞带来的风险中。
中间层中的客户端软件已作为一般中间层补丁的一部分进行了修补,故客户无需再使用其他补丁。如果情形并非如此,则相应的补充文档中将会有所说明。
可用补丁表与风险表
更新中的 Oracle 数据库、Oracle 应用服务器、Oracle 企业管理器网格控制、Oracle 协作套件、JD Edwards EnterpriseOne and OneWorld Tools 以及 PeopleSoft Enterprise Portal Applications 补丁均是累积式的;每一期重要补丁更新都包含之前重要补丁更新的修复程序。
Oracle 电子商务套件和应用程序补丁不是累积式的,因此电子商务套件和应用程序客户应到先前的重要补丁更新中寻找其想应用的修复程序。
对于所管理的每个 Oracle 产品,请查阅其他文档,以了解可用补丁信息和安装说明。有关该重要补丁更新的所有文档概述,请参阅 2006 年 7 月 Oracle 重要补丁更新文档概述,MetaLink 说明
372928.1
。
风险表内容
风险表只列出了安全漏洞,即新近可由与本报告有关的补丁修补的安全漏洞。之前的修复程序的风险表包含在
之前的
重要补丁更新报告中。
一个漏洞出现在数个风险表中
该重要补丁更新修复的几个漏洞影响着多个产品。我们使用与众不同的
漏洞号
在其风险表的行中显示这些共有的漏洞。然后,将这些行复制到所有相应的风险表中(在一条灰色分割线下)。
风险表定义
MetaLink 说明
293956.1
定了风险表中所用的术语。
风险分析与混合攻击
Oracle 对分别每种潜在漏洞进行了分析,以确定其所带来的风险与影响。Oracle 没有对混合攻击(即单次攻击中利用多个漏洞)的可能以及影响进行分析。
关于在“重要补丁更新和安全警报”中所提供信息的政策声明
Oracle 对通过重要补丁更新 (CPU) 或安全警报提出的各个安全漏洞进行了分析。安全性分析的结果反映在相关文档中,例如,漏洞类型、利用该漏洞的条件以及成功利用该漏洞的后果。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析其自己的风险。
出于策略方面的原因,Oracle 不提供除 CPU 或安全警报通告、可用补丁表、自述文件和常见问题解答所提供信息以外的其他具体漏洞信息。Oracle 不向个别客户提供有关 CPU 或安全警报的预先通知。最后,Oracle 不会针对我们产品中的漏洞开发或发布可利用的入侵代码或“验证性”代码。
不受支持版本的重要补丁更新的可用性
重要补丁更新适用于在
生命周期支持策略
实施之前购买了扩展维护支持 (EMS) 的客户。不受支持的通知中说明了 EMS 是否适用于特定版本和平台以及 EMS 适用期间的特定时期。
在生命周期策略实施之前,具有在扩展支持 (ES) 中有效的产品版本许可的客户有资格下载现有修复程序,但是,ES 不涵盖补丁应用过程中可能出现的新问题。因此,ES 客户应制定一个能够删除任何已应用补丁的详尽计划。
Oracle 将不为扩展维护支持计划或生命周期支持策略中不再涵盖的产品版本提供重要补丁更新。我们建议客户升级至最新的受支持 Oracle 产品版本,以获取重要补丁更新。
请参阅
技术支持策略
中的“扩展支持”部分,进一步了解有关 ES 和 EMS 的原则。
参考
致谢
该重要补丁更新修复的安全漏洞由以下人员发现并向 Oracle 报告:Application Security, Inc. 的 Esteban Martinez Fayo、Infinity3 GmbH 的 Christian Kleinewaechter 博士和 Swen Thuemmler、Red Database Security GmbH 的 Alexander Kornbrust、Next Generation Security Software Ltd. 的 David Litchfield。
重要补丁更新日程表
重要补丁更新在距 1 月、4 月、7 月和 10 月的第 15 日最近的星期二发布。接下来的四个日期为:
-
2006 年 10 月 17 日
-
2007 年 1 月 16 日
-
2007 年 4 月 17 日
-
2007 年 7 月 17 日
修改历史
|
2006 年 7 月 18 日
|
初始版本
|
|
2006 年 7 月 20 日
|
更改了数据库风险表中 DB23 的“所需访问权限(协议)”
|
附录 A
Oracle 数据库风险表
|
漏洞号
|
组件
|
所需访问权限(协议)
|
所需授权(程序包或需要权限)
|
风险(参阅说明
293956.1
)
|
最早受影响的支持版本
|
最后受影响的补丁集(每个受支持版本)
|
变通方法
|
|
机密性
|
完整性
|
可用性
|
|
难度
|
影响
|
难度
|
影响
|
难度
|
影响
|
|
DB01
|
更改数据捕获 (CDC)
|
SQL (Oracle Net)
|
数据库(在 sys.dbms_cdc_impdp 上
执行)
|
简单
|
广泛
|
简单
|
广泛
|
---
|
---
|
10
g
|
10.1.0.5
|
---
|
|
DB02
|
核心 RDBMS
|
SQL (Oracle Net)
|
数据库(在嵌套表上
选择)
|
---
|
---
|
---
|
---
|
简单
|
广泛
|
9
i
|
9.0.1.5, 9.2.0.6
|
---
|
|
DB03
|
数据泵元数据 API
|
SQL (Oracle Net)
|
数据库(在 sys.kupw$worker 上
执行)
|
简单
|
广泛
|
简单
|
广泛
|
---
|
---
|
10
g
|
10.1.0.5
|
---
|
|
DB04
|
Web 分布式创作和版本控制 (DAV)
|
网络 (HTTP)
|
数据库
|
---
|
---
|
---
|
---
|
简单
|
广泛
|
9
i
R2
|
9.2.0.6, 10.1.0.4
|
---
|
|
DB05
|
字典
|
SQL (Oracle Net)
|
数据库(在 sys.dbms_ddl 上执行)
|
困难
|
广泛
|
困难
|
广泛
|
简单
|
广泛
|
8
i
|
8.1.7.4, 9.0.1.5, 9.2.0.6
|
---
|
|
DB06
|
Export
|
SQL (Oracle Net)
|
数据库(在 sys.dbms_export_extension 上执行)
|
简单
|
广泛
|
简单
|
广泛
|
---
|
---
|
8
i
|
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.5, 10.2.0.2
|
---
|
|
DB07
|
InterMedia
|
SQL (Oracle Net)
|
数据库(在 ordsys.ordimgidxmethods 上执行)
|
困难
|
广泛
|
困难
|
广泛
|
简单
|
广泛
|
9
i
|
9.0.1.5, 9.2.0.6, 10.1.0.4
|
---
|
|
DB08
|
OCI
|
SQL (Oracle Net)
|
数据库
|
---
|
---
|
简单
|
广泛
|
简单
|
广泛
|
8
i
|
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.5, 10.2.0.2
|
---
|
|
DB09
|
OCI
|
SQL (Oracle Net)
|
无
|
困难
|
广泛
|
困难
|
广泛
|
简单
|
广泛
|
8
i
|
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.5, 10.2.0.2
|
---
|
|
DB10
|
OCI
|
SQL (Oracle Net)
|
无
|
---
|
---
|
简单
|
广泛
|
简单
|
广泛
|
8
i
|
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.5, 10.2.0.2
|
---
|
|
DB11
|
OCI
|
SQL (Oracle Net)
|
无
|
---
|
---
|
---
|
---
|
简单
|
广泛
|
8
i
|
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.5, 10.2.0.2
|
---
|
|
DB12
|
OCI
|
SQL (Oracle Net)
|
数据库
|
---
|
---
|
---
|
---
|
简单
|
广泛
|
8
i
|
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.5, 10.2.0.2
|
---
|
|
DB13
|
OCI
|
SQL (Oracle Net)
|
无
|
---
|
---
|
---
|
---
|
困难
|
广泛
|
8
i
|
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.5, 10.2.0.2
|
---
|
|
DB14
|
OCI
|
SQL (Oracle Net)
|
数据库
|
困难
|
广泛
|
困难
|
广泛
|
简单
|
广泛
|
8
i
|
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.5, 10.2.0.2
|
---
|
|
DB15
|
Oracle ODBC 驱动程序
|
SQL (Oracle Net)
|
数据库(通过 ref cursor 调用过程)
|
---
|
---
|
---
|
---
|
简单
|
广泛
|
10
g
|
10.1.0.4
|
---
|
|
DB16
|
查询重写/摘要管理
|
SQL (Oracle Net)
|
数据库(在 sys.dbms_xrwmv 上
执行)
|
简单
|
广泛
|
简单
|
广泛
|
---
|
---
|
9
i
|
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.5, 10.2.0.2
|
---
|
|
DB17
|
RPC
|
SQL (Oracle Net)
|
数据库
|
---
|
---
|
---
|
---
|
简单
|
广泛
|
8
i
|
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.5, 10.2.0.2
|
---
|
|
DB18
|
RPC
|
SQL (Oracle Net)
|
无
|
---
|
---
|
---
|
---
|
简单
|
广泛
|
8
i
|
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.5, 10.2.0.2
|
---
|
|
DB19
|
RPC
|
SQL (Oracle Net)
|
无
|
困难
|
广泛
|
困难
|
广泛
|
简单
|
广泛
|
8
i
|
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.5, 10.2.0.2
|
---
|
|
DB20
|
语义分析
|
SQL (Oracle Net)
|
数据库
|
简单
|
广泛
|
简单
|
广泛
|
---
|
---
|
8
i
|
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.5, 10.2.0.2
|
---
|
|
DB21
|
统计信息
|
SQL (Oracle Net)
|
数据库(在 sys.dbms_stats 上执行)
|
简单
|
广泛
|
简单
|
广泛
|
---
|
---
|
10
g
|
10.1.0.5
|
---
|
|
DB22
|
升级与降级
|
SQL (Oracle Net)
|
数据库(在 sys.dbms_dbupgrade 上
执行)
|
简单
|
广泛
|
简单
|
广泛
|
---
|
---
|
10
g
|
10.1.0.5
|
---
|
|
DB23
|
XMLDB
|
网络 (HTTP)
|
无
|
---
|
---
|
---
|
---
|
简单
|
广泛
|
9
i
R2
|
9.2.0.6, 10.1.0.4
|
---
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
DBC01
|
OCI
|
SQL (Oracle Net)
|
无
|
---
|
---
|
---
|
---
|
简单
|
有限
|
8
i
|
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.5, 10.2.0.2
|
---
|
|
DBC02
|
RPC
|
SQL (Oracle Net)
|
无
|
---
|
---
|
---
|
---
|
简单
|
有限
|
8
i
|
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.5, 10.2.0.2
|
---
|
|
DBC03
|
RPC
|
SQL (Oracle Net)
|
无
|
---
|
---
|
---
|
---
|
简单
|
有限
|
8
i
|
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.5, 10.2.0.2
|
---
|
|
DBC04
|
RPC
|
SQL (Oracle Net)
|
数据库
|
困难
|
有限
|
困难
|
有限
|
简单
|
有限
|
8
i
|
8.1.7.4, 9.0.1.5, 9.2.0.7, 10.1.0.5, 10.2.0.2
|
---
|
所需条件,Oracle 数据库漏洞
利用上述漏洞无需任何附加条件。
变通方法,Oracle 数据库漏洞
对于 Oracle 数据库风险表中所述 Oracle 数据库漏洞,没有建议的变通方法。
附录 B
Oracle 应用服务器风险表
|
漏洞号
|
组件
|
所需访问权限(协议)
|
所需授权(程序包或所需权限)
|
风险(参阅说明
293956.1
)
|
最早受影响的支持版本
|
最后受影响的补丁集
|
变通方法
|
|
机密性
|
完整性
|
可用性
|
|
难度
|
影响
|
难度
|
影响
|
难度
|
影响
|
|
AS01
|
OC4J
|
网络 (HTTP)
|
无
|
简单
|
有限
|
---
|
---
|
---
|
---
|
9.0.2.3
|
9.0.2.3
|
---
|
|
AS02
|
OC4J
|
网络 (HTTP)
|
有效会话
|
困难
|
有限
|
困难
|
有限
|
---
|
---
|
9.0.2.3
|
9.0.2.3, 9.0.3.1
|
---
|
|
AS03
|
OC4J
|
网络 (HTTP)
|
无
|
简单
|
有限
|
---
|
---
|
---
|
---
|
9.0.2.3
|
9.0.2.3, 9.0.3.1, 9.0.4.2, 10.1.2.0.2, 10.1.2.1
|
---
|
|
AS04
|
OC4J
|
网络 (HTTP)
|
无
|
简单
|
有限
|
---
|
---
|
---
|
---
|
9.0.2.3
|
9.0.2.3, 9.0.3.1, 10.1.2.0.0
|
---
|
|
AS05
|
OC4J
|
网络 (HTTP)
|
无
|
简单
|
有限
|
---
|
---
|
---
|
---
|
9.0.2.3
|
9.0.2.3, 9.0.3.1, 9.0.4.2, 10.1.2.0.0
|
---
|
|
AS06
|
OC4J
|
网络 (HTTP)
|
无
|
困难
|
有限
|
困难
|
有限
|
---
|
---
|
9.0.2.3
|
9.0.2.3, 9.0.3.1, 9.0.4.1
|
---
|
|
AS07
|
OC4J
|
网络 (HTTP)
|
无
|
---
|
---
|
---
|
---
|
简单
|
广泛
|
9.0.4.2
|
9.0.4.2, 10.1.2.0.0
|
---
|
|
AS08
|
OC4J
|
网络 (HTTP)
|
无
|
简单
|
有限
|
---
|
---
|
---
|
---
|
9.0.2.3
|
9.0.2.3, 9.0.3.1, 9.0.4.2, 10.1.2.0.0
|
---
|
|
AS09
|
OC4J
|
网络 (HTTP)
|
无
|
困难
|
有限
|
困难
|
有限
|
---
|
---
|
10.1.3.0
|
10.1.3.0
|
---
|
|
AS10
|
OC4J
|
网络 (HTTP)
|
无
|
简单
|
广泛
|
---
|
---
|
---
|
---
|
10.1.2.0.2
|
10.1.2.0.2, 10.1.2.1
|
---
|
所需条件,Oracle 应用服务器漏洞
利用上述漏洞无需任何附加条件。
变通方法,Oracle 应用服务器漏洞
对于 Oracle 应用服务器风险表中所述 Oracle 应用服务器漏洞,没有建议的变通方法。
附录 C
Oracle 协作套件风险表
|
漏洞号
|
组件
|
所需访问权限(协议)
|
所需授权(程序包或所需权限)
|
风险(参阅说明
293956.1
)
|
最早受影响的支持版本
|
最后受影响的补丁集
|
变通方法
|
|
机密性
|
完整性
|
可用性
|
|
难度
|
影响
|
难度
|
影响
|
难度
|
影响
|
|
OCS01
|
Calendar
|
网络 (HTTP)
|
有效会话
|
简单
|
有限
|
---
|
---
|
---
|
---
|
10.1.2
|
10.1.2
|
---
|
所需条件,Oracle 协作套件漏洞
利用上述漏洞无需任何附加条件。
变通方法,Oracle 协作套件漏洞
对于 Oracle 协作套件风险表中所述 Oracle 协作套件漏洞,没有建议的变通方法。
附录 D
Oracle 电子商务套件和应用程序风险表
|
漏洞号
|
组件
|
所需访问权限(协议)
|
所需授权(程序包或所需权限)
|
风险(参阅说明
293956.1
)
|
最早受影响的支持版本
|
最后受影响的补丁集
|
变通方法
|
|
机密性
|
完整性
|
可用性
|
|
难度
|
影响
|
难度
|
影响
|
难度
|
影响
|
|
APPS01
|
Internet Expenses
|
网络 (HTTP)
|
有效会话
|
简单
|
有限
|
简单
|
有限
|
---
|
---
|
11.5.9
|
11.5.10CU2
|
---
|
|
APPS02
|
Oracle 应用程序对象库
|
网络 (HTTP)
|
有效会话
|
简单
|
有限
|
---
|
---
|
---
|
---
|
11.5.7
|
11.5.10CU2
|
---
|
|
APPS03
|
Oracle 应用程序对象库
|
网络 (HTTP)
|
有效会话
|
简单
|
有限
|
简单
|
有限
|
---
|
---
|
11.5.7
|
11.5.9
|
---
|
|
APPS04
|
Oracle 应用程序对象库
|
网络 (HTTP)
|
无
|
简单
|
有限
|
---
|
---
|
---
|
---
|
11.5.7
|
11.5.9
|
---
|
|
APPS05
|
Oracle 应用程序对象库
|
网络 (HTTP)
|
无
|
困难
|
有限
|
困难
|
有限
|
---
|
---
|
11.5.10
|
11.5.10CU2
|
---
|
|
APPS06
|
Oracle 应用程序对象库
|
网络 (HTTP)
|
有效会话
|
简单
|
广泛
|
---
|
---
|
---
|
---
|
11.5.7
|
11.5.10CU2
|
---
|
|
APPS07
|
Oracle 应用程序对象库
|
网络 (HTTP)
|
有效会话
|
困难
|
有限
|
困难
|
有限
|
---
|
---
|
11.5.7
|
11.5.10CU2
|
---
|
|
APPS08
|
Oracle 应用程序对象库
|
网络 (HTTP)
|
有效会话
|
简单
|
广泛
|
简单
|
广泛
|
---
|
---
|
11.5.7
|
11.5.10CU2
|
---
|
|
APPS09
|
Oracle 应用程序对象库
|
本地
|
操作系统
|
简单
|
广泛
|
简单
|
广泛
|
---
|
---
|
11.5.7
|
11.5.10CU2
|
---
|
|
APPS10
|
Oracle 应用程序对象库
|
网络 (HTTP)
|
无
|
简单
|
有限
|
---
|
---
|
---
|
---
|
11.5.7
|
11.5.10CU2
|
---
|
|
APPS11
|
Oracle 应用技术系列
|
网络 (HTTP)
|
有效会话
|
困难
|
广泛
|
困难
|
广泛
|
---
|
---
|
11.5.7
|
11.5.10CU2
|
---
|
|
APPS12
|
Oracle 应用技术系列
|
网络 (HTTP)
|
有效会话
|
简单
|
广泛
|
简单
|
广泛
|
---
|
---
|
11.5.7
|
11.5.10CU2
|
---
|
|
APPS13
|
Oracle 应用技术系列
|
网络 (HTTP)
|
有效会话
|
简单
|
有限
|
---
|
---
|
---
|
---
|
11.5.7
|
11.5.10CU2
|
---
|
|
APPS14
|
Oracle 呼叫中心技术
|
网络 (HTTP)
|
有效会话
|
简单
|
有限
|
---
|
---
|
---
|
---
|
11.5.9
|
11.5.10CU2
|
---
|
|
APPS15
|
Oracle Common Applications
|
网络 (HTTP)
|
有效会话
|
简单
|
广泛
|
---
|
---
|
---
|
---
|
11.5.7
|
11.5.10CU2
|
---
|
|
APPS16
|
Oracle Exchange
|
网络 (HTTP)
|
无
|
简单
|
有限
|
---
|
---
|
---
|
---
|
6.2.3
|
6.2.4
|
---
|
|
APPS17
|
Oracle Exchange
|
网络 (HTTP)
|
有效会话
|
简单
|
有限
|
---
|
---
|
---
|
---
|
6.2.3
|
6.2.4
|
---
|
|
APPS18
|
Oracle 自助服务 Web 应用程序
|
网络 (HTTP)
|
无
|
简单
|
有限
|
简单
|
有限
|
---
|
---
|
11.5.7
|
11.5.10CU2
|
---
|
|
APPS19
|
Oracle Workflow Cartridge
|
网络 (HTTP)
|
有效会话
|
简单
|
有限
|
---
|
---
|
---
|
---
|
11.5.7
|
11.5.10CU2
|
---
|
|
APPS20
|
Oracle XML Gateway
|
网络 (HTTP)
|
有效会话
|
困难
|
广泛
|
困难
|
广泛
|
简单
|
广泛
|
11.5.7
|
11.5.9
|
---
|
所需条件,Oracle 电子商务套件和应用程序漏洞
利用上述漏洞无需任何附加条件。
变通方法,电子商务套件漏洞
对于 Oracle 电子商务套件和应用程序风险表中所述 Oracle 电子商务套件和应用程序漏洞,没有建议的变通方法。
附录 E
Oracle 企业管理器风险表
|
漏洞号
|
组件
|
所需访问权限(协议)
|
所需授权(程序包或所需
权限)
|
风险(参阅说明
293956.1
)
|
最早受影响的支持版本
|
最后受影响的补丁集(每个受支持版本)
|
变通方法
|
|
机密性
|
完整性
|
可用性
|
|
难度
|
影响
|
难度
|
影响
|
难度
|
影响
|
|
EM01
|
核心:信息库
|
网络 (HTTP)
|
有效的 EM 用户帐户
|
简单
|
广泛
|
简单
|
广泛
|
---
|
---
|
9.0.1.0
|
9.0.1.0, 9.2.0.1
|
---
|
|
EM02
|
企业配置管理
|
网络 (HTTP)
|
有效的 EM 用户帐户
|
简单
|
广泛
|
简单
|
广泛
|
---
|
---
|
10.1.0.3
|
10.1.0.3
|
---
|
|
EM03
|
Oracle 管理服务
|
网络 (HTTP)
|
无
|
简单
|
广泛
|
---
|
---
|
---
|
---
|
10.1.0.3
|
10.1.0.5, 10.2.0.1
|
---
|
|
EM04
|
Oracle 管理服务
|
网络 (HTTP)
|
无
|
简单
|
广泛
|
简单
|
广泛
|
---
|
---
|
10.1.0.3
|
10.1.0.5, 10.2.0.1
|
---
|
所需条件,Oracle 企业管理器漏洞
利用上述漏洞无需任何附加条件。
变通方法,企业管理器漏洞
对于 Oracle 企业管理器风险表中所述 Oracle 企业管理器漏洞,没有建议的变通方法。
附录 F
Oracle PeopleSoft Enterprise 和 JD Edwards EnterpriseOne 风险表
|
漏洞号
|
组件
|
所需访问权限(协议)
|
所需授权(程序包或所需权限)
|
风险(参阅说明
293956.1
)
|
最早受影响的支持版本
|
最后受影响的补丁集(每个受支持版本)
|
变通方法
|
|
机密性
|
完整性
|
可用性
|
|
难度
|
影响
|
难度
|
影响
|
难度
|
影响
|
|
PSE01
|
PeopleSoft 企业门户
|
网络
|
有效会话
|
简单
|
有限
|
简单
|
有限
|
---
|
---
|
企业门户 8.4、8.8、8.9
|
8.4 Bundle #16 8.8 Bundle #10 8.9 Bundle #3
|
---
|
|
PSE02
|
PeopleSoft 企业门户
|
网络
|
有效会话
|
简单
|
有限
|
简单
|
有限
|
---
|
---
|
带有 Enforcer Portal Pack 的企业门户 8.8、企业门户 8.9
|
8.8 Bundle #10 8.9 Bundle #3
|
---
|
|
JDE01
|
JD Edwards HTML Server
|
网络 (HTTP)
|
无
|
困难
|
有限
|
困难
|
有限
|
---
|
---
|
OneWorld Tools、EnterpriseOne Tools 8.95、8.96
|
SP23_N1 8.95.M1 8.96.B1
|
---
|
所需条件,Oracle PeopleSoft Enterprise 与 JD Edwards EnterpriseOne 漏洞
利用上述漏洞无需任何附加条件。
变通方法,Oracle PeopleSoft Enterprise 与 JD Edwards EnterpriseOne 漏洞
对于上述漏洞,没有建议的变通方法。
|
