以下是Oracle對即將推出的09年7月Oracle關鍵補丁更新（CPU）預發(fā)布版本通告的簡要分析。

1. 總的來說，在此次更新里有33個安全漏洞將被修復，這是一個在以往的更新的范圍內(nèi)的平均值(09年，4月=43個、1月=41個;08年，10月=36個、7月=45個、4月=41個、1月=26個;07年，10月=51個，7月=45個、4月=36個、1月=51個;06年，10月=101個1月=80個)。

2. 該產(chǎn)品與漏洞的結(jié)合似乎與以往的更新相似，所有的更新支持包括Oracle數(shù)據(jù)庫，Oracle應用程序服務器和Oracle電子商務套件版本，正在獲取的支持版本列表非常短，在應用該更新的安全補丁前，應當仔細核查該版本是否需要升級。

◆數(shù)據(jù)庫包括：主平臺的9.2.0.8, 10.1.0.5, 10.2.0.3, 10.2.0.4, 11.1.0.6, 和11.1.0.7

◆應用程序服務器：9.0.4.3, 10.1.2, 和 10.1.3

◆電子商務套件：11.5.10.x, 12.0.x, 和 12.1.x

3. 此次更新的顯著部分是Oracle數(shù)據(jù)庫中的三個無需鑒證的可遠程利用的漏洞。擁有單個無需鑒證的遠程可利用漏洞已屬罕見，那么擁有三個此類漏洞顯然是一個顯著的、高優(yōu)先級的更新。很可能此三個漏洞包含于偵聽器、網(wǎng)絡驗證和網(wǎng)絡基礎組件中。

4. 此次更新，主版本沒有重大變化。

Oracle 數(shù)據(jù)庫

1. 10個數(shù)據(jù)庫漏洞中有三個無需鑒證的遠程可利用漏洞。如之前所示，此三個無需鑒證的遠程可利用漏洞足以使之成為過去三年內(nèi)最關鍵的季度性版本之一。

2. 該三個無需鑒證的遠程可利用漏洞最有可能包含于偵聽器、網(wǎng)絡驗證和網(wǎng)絡基礎中，其中一個漏洞的CVSS(評分)達到2.0 metric /9，使之成為一個高度關鍵補丁。

3. 類似于09年1月份的更新，此次也有兩個關鍵漏洞(一個無需鑒證的遠程可利用漏洞，另一個CVSS值是2.0 metric/10)。

Oracle應用程序服務器

1. 包含兩個新的Oracle應用程序服務器漏洞，且均為無需鑒證的遠程可利用漏洞。在以往的更新中，絕大多數(shù)Oracle應用程序服務器漏洞均趨于無需鑒證的遠程可利用漏洞。此類漏洞位于核心HTTP服務器(Apache)和Oracle安全開發(fā)工具包內(nèi)。最高的CVSS達到2.0 metric /5.0意味著極少風險。Oracle HTTP 服務器基于Apache服務器，Oracle幾個月后為之前版本的Apache服務器漏洞提供安全修復。極有可能此核心HTTP服務器漏洞是修復之前發(fā)布版本的Apache服務器的漏洞。

Oracle電子商務套件11i和R12

1. 存在8個新的Oracle電子商務套件11i和R12漏洞，其中5個是無需鑒證的遠程可利用漏洞。

2. 最有興趣的是網(wǎng)上供應商的門戶網(wǎng)站(iSupplier Portal)和網(wǎng)絡商店(iStore)的漏洞, 此類外部式網(wǎng)際網(wǎng)路的執(zhí)行可能要求立即安裝補丁。

3. 這是12.1的首個更新補丁。

預計影響：

1. 該季度Oracle數(shù)據(jù)庫的更新的重要性可能高于以往更新。

與以往所有的更新相比，該季度的安全補丁非常重要，而且應該粘貼至已安裝程序，記錄以往使用過的更新時間。

【編輯推薦】

1. 使用Oracle外部表的五個限制
2. Oracle服務器參數(shù)文件維護的四個技巧
3. 善用Oracle 11g數(shù)據(jù)壓縮技術
4. 管理Oracle OLAP時清除通往OLAP的障礙
5. 八大技巧精通JDBC連接Oracle數(shù)據(jù)庫