Oracle发布136个安全补丁,适用于各种产品
Oracle发布了另一个怪物季度安全更新,其中包含了136个修复的缺陷,包括Oracle数据库服务器,电子商务套件,融合中间件,Oracle Sun产品,Java和MySQL。
最大的变化是Oracle采用了常见的漏洞评分系统(CVSS)3.0版,这更准确地反映缺陷的影响而不是CVS 2.0。此Oracle关键补丁更新(CPU)具有CVSS 3.0和CVSS 2.0分数,可用于漏洞,提供有机会比较新评级系统如何影响组织内部的Oracle补丁优先级。
一个立即明显的变化是,基于CVSS 2.0规模的最高分数为10.0级,但在使用CVSS 3.0等级时,有五个漏洞。乍一看,这将建议基于CVSS 3.0,缺陷被评为不太关键,但这不是真的。
虽然没有10.0分的缺陷,但此CPU中的缺陷数量基于其CVSS 3.0得分为3.17,而基于CVSS 2.0相比为9。类似地,使用CVSS 3.0,25个缺陷作为高度严重程度,与仅使用CVSS 2.0仅使用CVSS 3.0相比。
基于CVSS 2.0的CVSS 2.0,低严重程度缺陷的数量也从28减少到仅基于CVSS 3.0。这表明总体而言,与CVSS 2.0相比,CVSS 3.0增加了漏洞的严重程度等级。
“首先,我很高兴看到得分系统的这种变化,因为有关CVSS v.2.0的质量的讨论,亚历山大Polyakov,CTO在漏洞情报公司橄榄师委员会,通过电子邮件。“例如,由于该评分系统中的一些缺陷,供应商可以根据其产品中发现的问题减少(故意或无意)。现在,最近更新的系统更准确,有很多影响以前版本的缺点都得到了解决。“
具有漏洞的Oracle产品,评为高(CVSS 3分,从7.0到8.9)和关键(得分9.0至10.0)是:Oracle数据库服务器,Oracle Enterprise Manager网格控制,Oracle E-Business Suite,Oracle供应链产品套件,Oracle PeopleSoft产品,Oracle金融服务软件,Oracle Java SE,Oracle Sun Systems产品,Oracle Virtualization,Oracle MySQL和Oracle Berkeley DB。
