求助 oracle 漏洞补丁升级事宜。

ninipig

单位使用的是绿盟的扫漏洞工具。

有五台服务器有以下漏洞



第一个漏洞：
详细描述         本次扫描是通过版本进行的，可能发生误报。
Oracle Database Server是一个对象一关系数据库管理系统。它提供开放的、全面的、和集成的信息管理方法。每个Server由一个 Oracle DB和一个Oracle Server实例组成。它具有场地自治性（Site Autonomy）和提供数据存储透明机制，以此可实现数据存储透明性。

Oracle Database Server在Enterprise Manager Base Platform的实现上存在远程漏洞，远程未验证攻击者可通过HTTP协议利用此漏洞影响下列版本的完整性：10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.2, and 11.2.0.3。

<*来源：Oracle

链接：http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html
*>
解决办法         厂商补丁：

Oracle
------
Oracle已经为此发布了一个安全公告（cpuapr2012-366314）以及相应补丁:

cpuapr2012-366314：Oracle Critical Patch Update Advisory - April 2012

链接：http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html
威胁分值         5
危险插件         否
发布日期         2012-04-08
CVE编号         CVE-2012-0527
BUGTRAQ         53093
NSFOCUS         19361
CNCVE编号         CNCVE-20120527
CVSS评分         CVE-2012-0527:4.3(AV:N/AC:M/Au:N/C:N/I:P/A:N)



第二个漏洞：
详细描述         本次扫描是通过版本进行的，可能发生误报。
Oracle Database Server是一个对象一关系数据库管理系统。它提供开放的、全面的、和集成的信息管理方法。每个Server由一个 Oracle DB和一个Oracle Server实例组成。它具有场地自治性（Site Autonomy）和提供数据存储透明机制，以此可实现数据存储透明性。

Oracle Database Server在Oracle Spatial的实现上存在远程漏洞，远程已验证攻击者可通过Oracle NET协议利用此漏洞影响下列版本的完整性、机密性、可用性：10.2.0.3、10.2.0.4、10.2.0.5、11.1.0.7、11.2.0.2、11.2.0.3

<*来源：Oracle

链接：http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html
*>
解决办法         厂商补丁：

Oracle
------
Oracle已经为此发布了一个安全公告（cpuapr2012-366314）以及相应补丁:

cpuapr2012-366314：Oracle Critical Patch Update Advisory - April 2012

链接：http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html

威胁分值         5
危险插件         否
发布日期         2012-04-08
CVE编号         CVE-2012-0552
BUGTRAQ         53097
NSFOCUS         19360
CNCVE编号         CNCVE-20120552
CVSS评分         CVE-2012-0552:9.0(AV:N/AC:L/Au:S/C:C/I:C/A:C)


第三个漏洞：
详细描述         本次扫描是通过版本进行的，可能发生误报。
Oracle Database Server是一个对象一关系数据库管理系统。它提供开放的、全面的、和集成的信息管理方法。每个Server由一个 Oracle DB和一个Oracle Server实例组成。它具有场地自治性（Site Autonomy）和提供数据存储透明机制，以此可实现数据存储透明性。

Oracle Database Server在实现上存在可允许攻击者向远程'TNS Listener'组件处理的数据投毒的漏洞，攻击者无需用户名和密码可利用此漏洞将数据库服务器的合法'TNS Listener'组件中的数据转向到攻击者控制的系统，导致控制远程组件的数据库实例，造成组件和合法数据库之间的攻击者攻击、会话劫持或拒绝服务攻击。

<*来源：Joxean Koret （joxeankoret@yahoo.es）

链接：http://seclists.org/fulldisclosure/2012/Apr/204
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html
*>
解决办法         厂商补丁：

Oracle
------
Oracle已经为此发布了一个安全公告（alert-cve-2012-1675-1608180）以及相应补丁:

alert-cve-2012-1675-1608180：Oracle Security Alert for CVE-2012-1675

链接：http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html
威胁分值         5
危险插件         否
发布日期         2012-04-30
CVE编号         CVE-2012-1675
BUGTRAQ         53308
NSFOCUS         19508
CNCVE编号         CNCVE-20121675
CVSS评分         CVE-2012-1675:7.5(AV:N/AC:L/Au:N/C:P/I:P/A:P)


第四个漏洞：
详细描述         本次扫描是通过版本进行的，可能发生误报。

Oracle Database Server是一个对象一关系数据库管理系统。它提供开放的、全面的、和集成的信息管理方法。每个Server由一个Oracle DB和一个Oracle Server实例组成。它具有场地自治性（Site Autonomy）和提供数据存储透明机制，以此可实现数据存储透明性。

Oracle Database Server在Core RDBMS组件的实现上存在安全漏洞，通过'Oracle NET'协议，已经验证的远程攻击者可利用此漏洞影响下列版本的可用性：11.1.0.7、11.2.0.2、11.2.0.3

<*来源：Oracle

链接：http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html
*>
解决办法         厂商补丁：

Oracle
------
Oracle已经为此发布了一个安全公告（cpujul2012-392727）以及相应补丁:

cpujul2012-392727：Oracle Critical Patch Update Advisory - July 2012

链接：http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html
威胁分值         5
危险插件         否
发布日期         2012-07-18
CVE编号         CVE-2012-3134
BUGTRAQ         54496
NSFOCUS         20024
CNCVE编号         CNCVE-20123134
CVSS评分         CVE-2012-3134:4.0(AV:N/AC:L/Au:S/C:N/I:N/A:P)

第五个漏洞：
详细描述         本次扫描是通过版本进行的，可能发生误报。

Oracle Database Server是一个对象一关系数据库管理系统。它提供开放的、全面的、和集成的信息管理方法。每个Server由一个Oracle DB和一个Oracle Server实例组成。它具有场地自治性（Site Autonomy）和提供数据存储透明机制，以此可实现数据存储透明性。

Oracle Database Server在Network Layer组件的实现上存在安全漏洞，通过'Oracle NET'协议，未经验证的远程攻击者可利用此漏洞影响下列版本的可用性：10.2.0.3、10.2.0.4、10.2.0.5、11.1.0.7、11.2.0.2、11.2.0.3

<*来源：Oracle

链接：http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html
*>
解决办法         厂商补丁：

Oracle
------
Oracle已经为此发布了一个安全公告（cpujul2012-392727）以及相应补丁:

cpujul2012-392727：Oracle Critical Patch Update Advisory - July 2012

链接：http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html
威胁分值         5
危险插件         否
发布日期         2012-07-18
CVE编号         CVE-2012-1745
BUGTRAQ         54501
NSFOCUS         20023
CNCVE编号         CNCVE-20121745
CVSS评分         CVE-2012-1745:5.0(AV:N/AC:L/Au:N/C:N/I:N/A:P)


第六个漏洞：
详细描述         本次扫描是通过版本进行的，可能发生误报。

Oracle Database Server是一个对象一关系数据库管理系统。它提供开放的、全面的、和集成的信息管理方法。每个Server由一个Oracle DB和一个Oracle Server实例组成。它具有场地自治性（Site Autonomy）和提供数据存储透明机制，以此可实现数据存储透明性。

Oracle Database Server在Network Layer组件的实现上存在安全漏洞，通过'Oracle NET'协议，未经验证的远程攻击者可利用此漏洞影响下列版本的可用性：10.2.0.3、10.2.0.4、10.2.0.5、11.1.0.7、11.2.0.2、11.2.0.3

<*来源：Oracle

链接：http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html
*>
解决办法         厂商补丁：

Oracle
------
Oracle已经为此发布了一个安全公告（cpujul2012-392727）以及相应补丁:

cpujul2012-392727：Oracle Critical Patch Update Advisory - July 2012

链接：http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html
威胁分值         5
危险插件         否
发布日期         2012-07-18
CVE编号         CVE-2012-1746
BUGTRAQ         54507
NSFOCUS         20022
CNCVE编号         CNCVE-20121746
CVSS评分         CVE-2012-1746:5.0(AV:N/AC:L/Au:N/C:N/I:N/A:P)

ninipig

第七个漏洞：
详细描述         Oracle Server是一个对象一关系数据库管理系统。它提供开放的、全面的、和集成的信息管理方法。每个Server由一个 Oracle DB和一个Oracle Server实例组成。它具有场地自治性（Site Autonomy）和提供数据存储透明机制，以此可实现数据存储透明性。

Oracle Database Server在Core RDBMS的实现上存在远程拒绝服务安全漏洞，远程已验证攻击者可利用此漏洞通过Oracle Net协议加以利用，必须具有Create session权限才可利用。影响版本：10.1.0.5、10.2.0.3、10.2.0.4、10.2.0.5、11.1.0.7、11.2.0.2、11.2.0.3。

<*来源：Oracle

链接：http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html
*>
解决办法         厂商补丁：

Oracle
------
Oracle已经为此发布了一个安全公告（cpujan2012-366304）以及相应补丁:

cpujan2012-366304：Oracle Critical Patch Update Advisory - January 2012

链接：http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html
威胁分值         6
危险插件         否
发布日期         2012-01-18
CVE编号         CVE-2012-0082
BUGTRAQ         51453
NSFOCUS         18582
CNNVD编号         CNNVD-201201-211
CNCVE编号         CNCVE-20120082
CVSS评分         CVE-2012-0082:5.5(AV:N/AC:L/Au:S/C:N/I:P/A:P)
CNVD编号         CNVD-2012-09509


第八个漏洞：
详细描述         Oracle Database是甲骨文公司的一款关系数据库管理系统。到目前仍在数据库市场上占有主要份额。

Oracle Database在实现上存在与CTXSYS.CONTEXT索引相关的不明细节错误，成功利用后可获取SYSDBA权限，但需要DBMS_STATS上的CREATE TABLE和CREATE PROCEDURE权限及EXECUTE权限。

<*来源：David Litchfield （david@nextgenss.com）

链接：http://secunia.com/advisories/50143/
http://www.teamshatter.com/topics/general/team-shatter-exclusive/ctxsys-context-privilege-escalation/
*>
解决办法         厂商补丁：

Oracle
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.oracle.com/technetwork/topics/security/
威胁分值         6
危险插件         否
发布日期         2012-08-09
CVE编号         CVE-2012-3132
BUGTRAQ         54884
NSFOCUS         20266
CNCVE编号         CNCVE-20123132
CVSS评分         CVE-2012-3132:6.5(AV:N/AC:L/Au:S/C:P/I:P/A:P)



一共八个漏洞，网上搜索了一下，说是CPU重要升级补丁，都是累积的，只要下载最新的版本即可。

请问是不是我只需要下载对应版本的CPU补丁即可，我看与之相关的还有PSU补丁，请问PSU是升级CPU补丁之前必打的吗？？


在这里可以查到最新的CPU补丁包：
http://www.oracle.com/technology/deploy/security/alerts.htm

我查看了一下，最新版本是2013年4月16日出来的
Critical Patch Update - April 2013
        Rev 1, 16 April 2013


现在服务器的版本是11.2.0.3
请问需要先升级PSU补丁，然后再打CPU补丁吗？




Database 11.2.0.3 SPU Patch 16294378, or

Database 11.2.0.3.6 PSU Patch 16056266, or

GI 11.2.0.3.6 PSU Patch 16083653,


现在是不是只需要打Database 11.2.0.3 SPU Patch 16294378就可以了？？？

ninipig

Product Home

Patch

Advisory Number

Comments

Oracle Database home Database 11.2.0.3 SPU Patch 16294378, or
Database 11.2.0.3.6 PSU Patch 16056266, or
GI 11.2.0.3.6 PSU Patch 16083653, or
Quarterly Database patch for Exadata - April 2013 11.2.0.3.17 BP Patch 16474946, or
Quarterly Full Stack download for Exadata (April 2013) BP Patch 16346054, or
Microsoft Windows (32-Bit) BP 18 Patch 16345833, or later
Microsoft Windows x64 (64-Bit) BP 18 Patch 16345834, or later
CVE-2013-1538, CVE-2013-1554 - Included in all patches
CVE-2013-1534 - Additionally included in Grid Infrastructure (GI), Exadata and Windows patches.

Oracle Database home CPU Patch 13705478 Released April 2012 OC4J 10.1.3.4 one-off patch (Special OPatch needed, see README)

Maclean Liu(刘相兵

一般打psu ，因为PSU包含了CPU ， 绝大多数PSU是累积性的


这些安全补丁 确实是可以加强安全性， 但绝大多数情况下  你不会让db直接连在 互联网上 供人参观吧

ninipig

刘哥，你好，我查了一下，最新的补丁一共是三个
Database 11.2.0.3 SPU Patch 16294378, or

Database 11.2.0.3.6 PSU Patch 16056266, or

GI 11.2.0.3.6 PSU Patch 16083653,

那我是直接打Database 11.2.0.3.6 PSU Patch 16056266，GI 11.2.0.3.6 PSU Patch 16083653这两个，还是其中一个就可以了，如果是其中一个，那么建议打GI还是DB的PSU补丁呢？？？

ninipig

另，修复漏洞可以只打SPU补丁吗，我看这个可以在线打，很简单的操作。


前几天升级了一次一套RAC数据库的PSU补丁，要停库停CRS，tar备分gi和oracle用户的HOME目录，太折腾了。打补丁的时候就失败了一次，差点起不来了。