Oracle今年4月關(guān)鍵補(bǔ)丁更新(Critical Patch Update)涉及多款產(chǎn)品中的136個(gè)漏洞，其中最大的變化是切換到通用安全漏洞評(píng)分系統(tǒng)3.0版本或者說CVSSv3，該版本可更準(zhǔn)確反映漏洞帶來的影響。

[[165918]]

Oracle公司在其補(bǔ)丁公告中指出，這個(gè)關(guān)鍵補(bǔ)丁更新中的漏洞同時(shí)使用3.0和2.0版本的通用安全漏洞評(píng)分系統(tǒng)來評(píng)分，但未來CPU和安全警報(bào)將僅使用CVSS 3.0評(píng)分。

Tripwire公司漏洞和披露研究小組(VERT)經(jīng)理Tyler Reguly表示，轉(zhuǎn)到CVSS 3.0可能是本月Oracle補(bǔ)丁公告中唯一的好消息。

Oracle的CPU因?yàn)榭勺x性的限制總是很難處理大量數(shù)據(jù)，Reguly表示：“雖然可能并不完美，但CVSSv3確實(shí)比CVSSv2有改進(jìn)，這使得漏洞評(píng)分可更好地用于補(bǔ)丁優(yōu)先級(jí)。”

“此外，Oracle從來沒有使用真正的CVSSv2，而是利用自身修改版本的CVSSv2，關(guān)聯(lián)其他數(shù)據(jù)來源，”他繼續(xù)說道，“不過，CVSSv3還沒有被廣泛采用，很多表示提供CVSSv3支持的供應(yīng)商和數(shù)據(jù)源迄今都沒有兌現(xiàn)承諾，這限制了CVSSv3在相關(guān)漏洞信息中的有效性。”

Reguly補(bǔ)充說：“對(duì)于現(xiàn)在進(jìn)行修復(fù)的企業(yè)來說，首要一步是知道企業(yè)環(huán)境中的Oracle產(chǎn)品(有時(shí)候我們會(huì)忘記有多少產(chǎn)品)，并在CPU中識(shí)別它們。本月的補(bǔ)丁公告中，你可以先處理CVSS評(píng)分超過9.0的漏洞，再處理超過7.0的漏洞。在這種情況下，CVSS評(píng)分提供了最佳的優(yōu)先指標(biāo)。”

Oracle補(bǔ)丁現(xiàn)在涵蓋多項(xiàng)產(chǎn)品，包括Fusion Middleware、PeopleSoft、Solaris、VM VirtualBox、MySQL和Java。轉(zhuǎn)到CVSS 3.0很值得關(guān)注，因?yàn)榛贑VSS 3.0，被視為關(guān)鍵的Oracle補(bǔ)丁數(shù)量是17，而基于CVSS 2.0則是9;使用CVSS 3.0有25個(gè)漏洞被評(píng)為高嚴(yán)重性漏洞，使用CVSS 2.0則只有12個(gè)。

根據(jù)CVSS 3.0，最嚴(yán)重的漏洞出現(xiàn)在Oracle Fusion Middleware中(7個(gè)漏洞被評(píng)為9.8分);一個(gè)Solaris漏洞評(píng)為9.8;MySQL有兩個(gè)漏洞被評(píng)為9.8;還有三個(gè)Java SE漏洞被評(píng)為9.6。Java SE、Java VM、Oracle Field Service和Oracle FLEXCUBE中的漏洞也被評(píng)為9.0或更高。

Tripware公司安全研究人員Lane Thames表示，Java應(yīng)該在優(yōu)先級(jí)列表中，因?yàn)樗膹V泛普及率，并且，攻擊者經(jīng)常會(huì)針對(duì)新的Java漏洞開發(fā)漏洞利用。

Thames還指出，對(duì)于CVE-2016-0636可能會(huì)有一些混淆，這是Oracle3月安全警報(bào)中的漏洞。

“因?yàn)閷?duì)CVE-2016-0636技術(shù)細(xì)節(jié)的公開披露，Oracle發(fā)布該漏洞的帶外補(bǔ)丁，”Thames稱，“這個(gè)漏洞沒有列在4月的CPU部分，但受影響版本的補(bǔ)丁級(jí)別還是一樣。有些人可能會(huì)質(zhì)疑這個(gè)最新版本的CPU是否包含針對(duì)該漏洞的代碼修復(fù)。”

除了對(duì)CVE-2016-0636的擔(dān)憂外，Thames表示：“管理員還應(yīng)該觀察到，CPU修復(fù)了幾個(gè)關(guān)鍵漏洞，這些漏洞可能影響服務(wù)器和客戶端安裝，并可能在沒有驗(yàn)證的情況下遠(yuǎn)程通過網(wǎng)絡(luò)來利用。”

“管理員還應(yīng)該注意到，特定主機(jī)可能包含多個(gè)Java安裝。同樣地，各種應(yīng)用會(huì)嵌入自己的Java副本。正因?yàn)檫@樣，現(xiàn)在企業(yè)IT面臨復(fù)雜的Java修復(fù)環(huán)境，”Thames稱，“除Java之外，我建議專注于服務(wù)器端的補(bǔ)丁，面向互聯(lián)網(wǎng)的服務(wù)有最高優(yōu)先級(jí)。這個(gè)規(guī)則的唯一特例是當(dāng)已知漏洞利用可用時(shí)。”