null51CTO博客 - 千亿集团

null51CTO博客

2019年03月05日09时29分41秒 | 作者: 智伟 | 标签: | 浏览: 1822

许多人常常喜爱下载一些缝隙扫描软件,这扫扫,那扫扫,天然也扫出许多“高危缝隙”。看到这些高危缝隙,你是不是有点小严峻呢?那么看完这篇文章,你会了解这Oracle patch的原理,也就豁然了。


针对常见的缝隙扫描软件,Oracle官方清晰表达,不授权和认可任何第三方软件的缝隙扫描成果。


而事实上,缝隙扫描软件,也真的没有做到巨大上的功用,它们并没有技能才干发现Oracle软件本身的缝隙。许多缝隙都是在一些******之后,Oracle原厂自行修正,并供给相应的补丁来避免相关危险的发作。许多扫描软件,不光没有做到巨大上,在Oracle缝隙方面,做的却十分业余。

只不过通过检查Oracle的软件补丁发布状况,和DB是否应有最新的Patch,而报出缝隙的信息,来吓唬客户,表现本身卑微的价值。


这些第三方软件所做的作业,对应Oracle来说,就是很简单的一个检查过程(一条指令,两个文档列表),就能处理是否存在缝隙的问题。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
一个指令:
$ORACLE_HOME/OPatch/opatch lsinventory
Patch列表
Quick Reference to Patch Numbers for Database/GI PSU, SPU(CPU), Bundle Patches and Patchsets (Doc ID 1454618.1)
和CVE缝隙信息列表
http://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


1. 已然扫描软件扫描到缝隙,好吧,咱们来看看他们的主张是什么呢?天然是打补丁了,可是打什么补丁呢?CPU,CPU,CPU啊,重要的工作说三遍。

看看下面两个缝隙的主张,需求运用两个不同的CPU来处理这个问题(两个CPU是不能一起打的,抵触)。

每逢我遇到这个主张的时分,都想说:“大哥,出来混,专业一点好不好?做扫描软件,超贵的License费用,你就给我看这个?”


2. 下图就是扫描软件供给的陈述


3. 咱们来了解一下Oracle的Patch结构,咱们就清楚了。为什么第三方扫描软件的不专业。

 One of Patch:针对一个bug,处理的办法

Merge Patch:针对多个bug,需求多个patch修正。可是patch的运用,本来就是oracle software的文件替换,在多个patch修正同一个文件的不同方位时,就会呈现抵触的状况。为了处理这个抵触,oracle供给了Merge patch,行将两个小patch需求修正的代码,融合到一个替换文件中。

Bundle patch:补 丁集,修正多个Bug。在Windows平台上的Oracle没有小补丁,只要这种Bundle Patch。 这种补丁聚会周期性的发布(至少每季一次)。这种补丁集是累积型的(cumulative),也就是每个Bundle patch 会包括之前的一切的Bundle Patch。 比方Windows Bundle Patch 16,它会包括之前一切15个Bundle Patch,所以咱们总是引荐装置最新的Bundle Patch。Oracle的集群软件和数据库软件的Window Bundle Patch是同一个,比方Windows Bundle Patch 16(补丁号16167942,既能够打在集群上,也能够打在数据库上) 。

要了解Windows Bundle Patch的补丁号,能够参阅MOS文档:

Note 161549.1 Oracle Database, Networking and Grid Agent Patches for Microsoft Platforms

Critical Patch Update (CPU):每季度发布一次,用来修正安全方面的一些补丁,是累积型的。现在现已更名为Security Patch Update (SPU)。

点击下面的链接检查各个CPU所修正的具体问题:

http://www.oracle.com/technetwork/topics/security/alerts-086861.html

Patch Set Update (PSU):每 季度发布一次,修正比较严峻的一些问题,包括每季的CPU,是累积型的。尽管在描绘PSU的时分会用到数据库版别第5位,比方Database PSU 11.2.0.3.5,但实际上打完PSU后并不会真实改动数据库的版别,从v$version中看到的版别仍是4位的(11.2.0.3.0),第5位 仍然是0。留意,Windows上没有CPU和PSU,Oracle的集群软件和数据库软件运用不同的PSU。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

上面引证Oracle官方blog https://blogs.oracle.com/database4cn/oracle-v4

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


4. 这儿,咱们比较关心的是CPU和PSU的联系,究竟是什么?        

下面这段官方描绘,解说他们的联系:

Critical Patch Updates (CPU) address security vulnerabilities, Patch Set Updates (PSU) address proactive, critical fixes and security vulnerabilities.

The Patch Set Updates and Critical Patch Updates that are released each quarter contain the same security fixes. However, they use different patching mechanisms, and Patch Set Updates include both security and recommended bug fixes. Consider the following guidelines when you are deciding to apply Patch Set Updates instead of Critical Patch Updates.

  • Critical Patch Updates are applied only on the base release version, for example 10.2.0.4.0.

  • Patch Set Updates can be applied on the base release version or on any earlier Patch Set Update. For example, 11.1.0.7.2 can be applied on 11.1.0.7.1 and 11.1.0.7.0.

  • Once a Patch Set Update has been applied, the recommended way to get future security content is to apply subsequent Patch Set Updates. Reverting from an applied Patch Set Update back to the Critical Patch Update, while technically possible, requires significant time and effort, and is not advised.

For more information on Patch Set Updates, see Note 854428.1, Patch Set Updates for Oracle Products.

总结:就是PSU包括CPU, PSU能够累加往上运用,可是CPU有必要先回滚,才干持续运用。

Oracle Support许多年,好像客户都是运用PSU来修正问题,很少有客户运用CPU的,究竟PSU的延续性,好像更好。


5. 概念都了解之后,咱们再回头看扫描软件扫描出的缝隙,咱们该怎么处理。

缝隙查询网址如下

 http://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html

(假如这个衔接失效,运用下面过程进入到CVE的信息查询页面

 OPN.oracle.com -> Topic Centers (www.oracle.com/technetwork/topics/index.html) -> Security -> View the most recent Critical Patch Update Advisory -> Map of Public Vulnerability to Advisory/Alert  


6. 例如,下面提示的缝隙,依据缝隙发现时刻,结合文档,依据修正日期,查找相对应的PSU/CPU复Quick Reference to Patch Numbers for Database PSU, SPU(CPU), Bundle Patches and Patchsets (Doc ID 1454618.1)

能够查询到11.2.0.3.13(发布的时刻是 JAN2015)版别之后的PSU,就现已修正了下面这些问题了。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Oracle Database Server JPublisher组件代码履行缝隙(CVE-2014-6546)  -CVE-2014-6546       Oracle Critical Patch Update October 2014
Oracle Database Server JPublisher组件代码履行缝隙(CVE-2014-6545)  -CVE-2014-6545       Oracle Critical Patch Update October 2014
Oracle Database Server Java VM组件代码履行缝隙(CVE-2014-6467)     -CVE-2014-6467       Oracle Critical Patch Update October 2014
Oracle Database Server SQLJ组件代码履行缝隙(CVE-2014-6455)        -CVE-2014-6455       Oracle Critical Patch Update October 2014
Oracle Database 长途安全缝隙(CVE-2014-2406)                       -CVE-2014-2406       Oracle Critical Patch Update April 2014
Oracle Database 长途安全缝隙(CVE-2014-2408)                       -CVE-2014-2408       Oracle Critical Patch Update April 2014
Oracle Database Server长途安全缝隙(CVE-2014-4236)                  -CVE-2014-4236       Oracle Critical Patch Update July 2014
Oracle Database Server Jpublisher组件缝隙(CVE-2014-6477)           -CVE-2014-6477       Oracle Critical Patch Update October 2014
Oracle Database Server Spatial组件本地安全缝隙(CVE-2014-0378)    -CVE-2014-0378       Oracle Critical Patch Update January 2014
Oracle Database Server Core RDBMS组件长途安全缝隙(CVE-2013-5858)  -CVE-2013-5858       Oracle Critical Patch Update January 2014
Oracle Database Server Core RDBMS组件长途信息走漏安全缝隙(CVE-2014-0377) -CVE-2014-0377       Oracle Critical Patch Update January 2014
Oracle Database Server长途安全缝隙(CVE-2014-4237)                  -CVE-2014-4237       Oracle Critical Patch Update July 2014
Oracle Database Server长途安全缝隙(CVE-2014-4245)                   -CVE-2014-4245       Oracle Critical Patch Update July 2014
Oracle Database Server Java VM组件代码履行缝隙(CVE-2014-6560)        - CVE-2014-6560       Oracle Critical Patch Update October 2014
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


7. 文档数据库patch版别列表

Quick Reference to Patch Numbers for Database PSU, SPU(CPU), Bundle Patches and Patchsets (Doc ID 1454618.1)


看完本文,是不是发现那些骗钱的“扫描软件”真的很Low?

一条指令,两个文档。完美处理“扫描软件”处理的问题,而且,在PSU和CPU(SPU)这件事上,“扫描软件”的工程师们,显着不了解Oracle的游戏规矩。

诚心规劝:“大哥,出来混,专业一点,好不好?不要天天没事刷存在感,研讨研讨内涵的原理和规矩,你们会做的更好。"


针对Patch,是不是要打上。尽管Oracle官方引荐是最新版别的数据库,运用最新发布的PSU。

可是关于出产体系,仍是主张稳重。假如没有遇到严峻的安全隐患,和bug问题,不主张去打patch。

PSU的晋级,还好。release版别的晋级,就有必要要通过严厉的功能测验的,不同版别的CBO等优化器的理念都是有差异的。不测验的晋级,很可能直接导致晋级后的体系不服水土,稳重瘫痪。(我也是真实遇到过一个工厂的中心出产体系,11.2.0.2晋级到11.2.0.4,体系彻底无法运用,不得不回滚的状况)。


所以Patch是好东西,可是也要按需“服用”。



弥补,Oracle大版别软件,是能够在ww.oracle.com上下载的(当然,商业运用是需求付License费的)。

能够下载的版别是11.2.0.1.0,12.0.1.2.0,12.2.0.1.0

只要买了Oracle support效劳(每年付费),有metalink账号,才干登陆metalink.oracle.com下载任何需求的Patch的。没有账号,就无法下载。


在弥补,刚刚原厂专家TimeSquare美人更正,12.2版别之后,PSU改名叫RU了,看来我真的OUT了。


你的支撑,我的动力,谢谢!

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表千亿集团立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章