重要补丁更新补丁可解决 Oracle 代码中的漏洞以及 Oracle 产品中包含的第三方组件中的漏洞。Oracle 在每个风险矩阵下方单独列出了用于解决第三方组件中的漏洞的更新,这些漏洞在其包含在所列 Oracle 产品系列中时无法利用。如果适用,与此类第三方更新关联的 CVE 标识符将列在各自风险矩阵下的“此重要补丁更新中包含此 Oracle 产品系列中以下不可利用的 CVE 的其他补丁”部分下。
“不可利用的 CVE”是指第三方组件(例如 glibc、GNU Bash)中的通用漏洞和暴露标识符,Oracle 已确定这些漏洞不能在列出的 Oracle 产品分发环境中被利用。例如,当 Oracle 产品包含的第三方组件在 Oracle 产品从未使用的功能中存在漏洞时,就会报告不可利用的 CVE。
注意:
给定的 CVE 可能会被报告为给定 Oracle 产品的“不可利用的 CVE”,并且可能会在其他 Oracle 产品中被利用。请务必参阅 CPU 建议的相应部分。
此外,促使 Oracle 确定给定 CVE 对于给定产品发行版不可利用的技术条件特定于 Oracle 产品的受支持配置。如果受影响的第三方组件是单独安装的,或者 Oracle 产品发行版是在不受支持的配置中部署的,则 CVE 可能会被利用。
从 2020 年 10 月重要补丁更新开始,Oracle 在每个风险矩阵下方的单独部分中列出了第三方组件中的漏洞,这些漏洞在包含这些组件的 Oracle 产品上下文中无法利用。在此更改之前,之前的重要补丁更新公告在风险矩阵中列出了第三方组件的所有更新。这些在 Oracle 产品环境中不可利用的漏洞由其各自的 CVE 标识符标识,并被分配 CVSS 基本分数 0.0。
经常问的问题
Oracle 如何确定某个漏洞在给定的 Oracle 产品发行版中不可利用?
第三方组件中的每个漏洞都会经过评估,以确定它是否会对使用该组件的 Oracle 产品的安全性产生负面影响。当 Oracle 产品以不暴露该漏洞的方式使用第三方组件时,该漏洞被认为在 Oracle 产品中不可利用。当易受攻击的功能从未被使用或以防止其被用作攻击的一部分的方式使用时,就会发生这种情况。Oracle 独立确定每个 Oracle 产品是否可以利用第三方组件中的漏洞,因为每个 Oracle 产品可能以不同的方式使用相同的第三方组件。
我所使用的 Oracle 产品被报告为不可利用的漏洞是否可以在我的环境中被利用?
是 - 促使 Oracle 确定给定 CVE 对于给定产品发行版不可利用的技术条件特定于 Oracle 产品的受支持配置。如果受影响的第三方组件是单独安装的,或者 Oracle 产品发行版是在不受支持的配置中部署的,则 CVE 可能会被利用。
Oracle 如何处理 Oracle 代码中的不可利用(CVSS 基本分数 0.0)漏洞?
通常,Oracle 代码中不可利用的漏洞被视为深度安全问题,可以在正常的升级版本中得到解决。
我可以有选择地选择可以为给定的 Oracle 产品应用哪些 CPU 更新吗?
一般来说,CPU 补丁是累积性的,并且不允许应用更新的子集。
为什么 Oracle 要更改 CPU 建议的格式以识别第三方组件中不可利用的漏洞?
Oracle 对 CPU Advisory 进行了更新,以便 Oracle 客户能够更好地确定修补工作的优先级。例如,如果与给定产品关联的更新仅包括与不可利用的 CVE 关联的更新,则客户可以选择推迟应用给定产品的 CPU。
如果我对 CPU 更新有疑问该怎么办?
客户应联系 Oracle 技术支持或在 My Oracle Support 上提出服务请求 (SR)。
Oracle 如何在重要补丁更新通报中报告第三方组件中的不可利用漏洞?
与给定 Oracle 产品系列相关的第三方组件中的不可利用漏洞在公告中的 Oracle 产品系列风险矩阵后面单独列出。这些漏洞通过通用漏洞和暴露 (CVE) 标识符进行识别,并被分配 CVSS 基本分数 0.0,因为尚未发现这些漏洞在其支持的产品部署中可被利用。
了解更多信息:
“风险矩阵术语表 – 关键补丁更新风险矩阵的术语和定义”位于https://www.oracle.com/security-alerts/advisorymatrixglossary.html
“2023 年 7 月重要补丁更新:执行摘要和分析”(文档 ID 2943356.1)位于 https://www.modb.pro/db/1681488884725800960
