Oracle今年4月關(guān)鍵補丁更新(Critical Patch Update)涉及多款產(chǎn)品中的136個漏洞，其中最大的變化是切換到通用安全漏洞評分系統(tǒng)3.0版本或者說CVSSv3，該版本可更準(zhǔn)確反映漏洞帶來的影響。

Oracle公司在其補丁公告中指出，這個關(guān)鍵補丁更新中的漏洞同時使用3.0和2.0版本的通用安全漏洞評分系統(tǒng)來評分，但未來CPU和安全警報將僅使用CVSS 3.0評分。

Tripwire公司漏洞和披露研究小組(VERT)經(jīng)理Tyler Reguly表示，轉(zhuǎn)到CVSS 3.0可能是本月Oracle補丁公告中唯一的好消息。

Oracle的CPU因為可讀性的限制總是很難處理大量數(shù)據(jù)，Reguly表示：“雖然可能并不完美，但CVSSv3確實比CVSSv2有改進，這使得漏洞評分可更好地用于補丁優(yōu)先級?！?/p>

“此外，Oracle從來沒有使用真正的CVSSv2，而是利用自身修改版本的CVSSv2，關(guān)聯(lián)其他數(shù)據(jù)來源，”他繼續(xù)說道，“不過，CVSSv3還沒有被廣泛采用，很多表示提供CVSSv3支持的供應(yīng)商和數(shù)據(jù)源迄今都沒有兌現(xiàn)承諾，這限制了CVSSv3在相關(guān)漏洞信息中的有效性。”

Reguly補充說：“對于現(xiàn)在進行修復(fù)的企業(yè)來說，首要一步是知道企業(yè)環(huán)境中的Oracle產(chǎn)品(有時候我們會忘記有多少產(chǎn)品)，并在CPU中識別它們。本月的補丁公告中，你可以先處理CVSS評分超過9.0的漏洞，再處理超過7.0的漏洞。在這種情況下，CVSS評分提供了最佳的優(yōu)先指標(biāo)?！?/p>

Oracle補丁現(xiàn)在涵蓋多項產(chǎn)品，包括Fusion Middleware、PeopleSoft、Solaris、VM VirtualBox、MySQL和Java。轉(zhuǎn)到CVSS 3.0很值得關(guān)注，因為基于CVSS 3.0，被視為關(guān)鍵的Oracle補丁數(shù)量是17，而基于CVSS 2.0則是9;使用CVSS 3.0有25個漏洞被評為高嚴(yán)重性漏洞，使用CVSS 2.0則只有12個。

根據(jù)CVSS 3.0，最嚴(yán)重的漏洞出現(xiàn)在Oracle Fusion Middleware中(7個漏洞被評為9.8分);一個Solaris漏洞評為9.8;MySQL有兩個漏洞被評為9.8;還有三個Java SE漏洞被評為9.6。Java SE、Java VM、Oracle Field Service和Oracle FLEXCUBE中的漏洞也被評為9.0或更高。

Tripware公司安全研究人員Lane Thames表示，Java應(yīng)該在優(yōu)先級列表中，因為它的廣泛普及率，并且，攻擊者經(jīng)常會針對新的Java漏洞開發(fā)漏洞利用。

Thames還指出，對于CVE-2016-0636可能會有一些混淆，這是Oracle3月安全警報中的漏洞。

“因為對CVE-2016-0636技術(shù)細節(jié)的公開披露，Oracle發(fā)布該漏洞的帶外補丁，”Thames稱，“這個漏洞沒有列在4月的CPU部分，但受影響版本的補丁級別還是一樣。有些人可能會質(zhì)疑這個最新版本的CPU是否包含針對該漏洞的代碼修復(fù)?！?/p>

除了對CVE-2016-0636的擔(dān)憂外，Thames表示：“管理員還應(yīng)該觀察到，CPU修復(fù)了幾個關(guān)鍵漏洞，這些漏洞可能影響服務(wù)器和客戶端安裝，并可能在沒有驗證的情況下遠程通過網(wǎng)絡(luò)來利用?！?/p>

“管理員還應(yīng)該注意到，特定主機可能包含多個Java安裝。同樣地，各種應(yīng)用會嵌入自己的Java副本。正因為這樣，現(xiàn)在企業(yè)IT面臨復(fù)雜的Java修復(fù)環(huán)境，”Thames稱，“除Java之外，我建議專注于服務(wù)器端的補丁，面向互聯(lián)網(wǎng)的服務(wù)有最高優(yōu)先級。這個規(guī)則的唯一特例是當(dāng)已知漏洞利用可用時?！?/p>
分享題目：Oracle現(xiàn)使用CVSS3.0對漏洞進行評級
網(wǎng)頁鏈接：http://uogjgqi.cn/article/dpjicgj.html