开发者社区> 云栖大讲堂> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

Oracle现使用CVSS 3.0对漏洞进行评级

简介:
+关注继续查看

Oracle今年4月关键补丁更新(Critical Patch Update)涉及多款产品中的136个漏洞,其中最大的变化是切换到通用安全漏洞评分系统3.0版本或者说CVSSv3,该版本可更准确反映漏洞带来的影响。

Oracle现使用CVSS 3.0对漏洞进行评级

Oracle公司在其补丁公告中指出,这个关键补丁更新中的漏洞同时使用3.0和2.0版本的通用安全漏洞评分系统来评分,但未来CPU和安全警报将仅使用CVSS 3.0评分。

Tripwire公司漏洞和披露研究小组(VERT)经理Tyler Reguly表示,转到CVSS 3.0可能是本月Oracle补丁公告中唯一的好消息。

Oracle的CPU因为可读性的限制总是很难处理大量数据,Reguly表示:“虽然可能并不完美,但CVSSv3确实比CVSSv2有改进,这使得漏洞评分可更好地用于补丁优先级。”

“此外,Oracle从来没有使用真正的CVSSv2,而是利用自身修改版本的CVSSv2,关联其他数据来源,”他继续说道,“不过,CVSSv3还没有被广泛采用,很多表示提供CVSSv3支持的供应商和数据源迄今都没有兑现承诺,这限制了CVSSv3在相关漏洞信息中的有效性。”

Reguly补充说:“对于现在进行修复的企业来说,首要一步是知道企业环境中的Oracle产品(有时候我们会忘记有多少产品),并在CPU中识别它们。本月的补丁公告中,你可以先处理CVSS评分超过9.0的漏洞,再处理超过7.0的漏洞。在这种情况下,CVSS评分提供了最佳的优先指标。”

Oracle补丁现在涵盖多项产品,包括Fusion Middleware、PeopleSoft、Solaris、VM VirtualBox、MySQL和Java。转到CVSS 3.0很值得关注,因为基于CVSS 3.0,被视为关键的Oracle补丁数量是17,而基于CVSS 2.0则是9;使用CVSS 3.0有25个漏洞被评为高严重性漏洞,使用CVSS 2.0则只有12个。

根据CVSS 3.0,最严重的漏洞出现在Oracle Fusion Middleware中(7个漏洞被评为9.8分);一个Solaris漏洞评为9.8;MySQL有两个漏洞被评为9.8;还有三个Java SE漏洞被评为9.6。Java SE、Java VM、Oracle Field Service和Oracle FLEXCUBE中的漏洞也被评为9.0或更高。

Tripware公司安全研究人员Lane Thames表示,Java应该在优先级列表中,因为它的广泛普及率,并且,攻击者经常会针对新的Java漏洞开发漏洞利用。

Thames还指出,对于CVE-2016-0636可能会有一些混淆,这是Oracle3月安全警报中的漏洞。

“因为对CVE-2016-0636技术细节的公开披露,Oracle发布该漏洞的带外补丁,”Thames称,“这个漏洞没有列在4月的CPU部分,但受影响版本的补丁级别还是一样。有些人可能会质疑这个最新版本的CPU是否包含针对该漏洞的代码修复。”

除了对CVE-2016-0636的担忧外,Thames表示:“管理员还应该观察到,CPU修复了几个关键漏洞,这些漏洞可能影响服务器和客户端安装,并可能在没有验证的情况下远程通过网络来利用。”

“管理员还应该注意到,特定主机可能包含多个Java安装。同样地,各种应用会嵌入自己的Java副本。正因为这样,现在企业IT面临复杂的Java修复环境,”Thames称,“除Java之外,我建议专注于服务器端的补丁,面向互联网的服务有最高优先级。这个规则的唯一特例是当已知漏洞利用可用时。”


作者:Michael Heller

来源:51CTO

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Jdbc连接Oracle数据库详细案例,占位符的使用
Jdbc连接Oracle数据库详细案例,占位符的使用
0 0
Oracle数据库的增、删、改,索引、视图以及序列的创建和销毁
Oracle数据库的增、删、改,索引、视图以及序列的创建和销毁
0 0
Oracle数据库的简单认识详细总结
Oracle数据库的简单认识详细总结
0 0
Oracle数据库 创建触发器和序列(上)
Oracle数据库 创建触发器和序列
0 0
Oracle 数据库删除某一行数据
Oracle 数据库删除某一行数据
0 0
PLSQL连接Oracle数据库详细教程
PLSQL连接Oracle数据库详细教程
0 0
Python连接Oracle数据库完美教程
Python连接Oracle数据库完美教程
0 0
数据库小技能:Oracle基础之【常用函数】
虚表dual ,它是一行一列,没有任何数据,常常用于测试。
0 0
数据库小技能:Oracle基础之【查询】
DQL:(数据查询语言,select)用来完成对数据库中的数据查询。 DDL(数据定义语言,create,drop,truncate截断表)操作表结构。 DML(数据库操作语言,insert,delete,update)操作数据
0 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
文章
问答
文章排行榜
最热
最新
相关电子书
更多
数据与基石-中国Oracle用户使用情况分析报告
立即下载
PostgresChina2018_刘成伟_oracle到Postgres数据库迁移工具
立即下载
深入研究Oracle新一代移动开发体验
立即下载