不專(zhuān)業(yè)的“漏洞掃描軟件”，是否嚇到你？

很多人經(jīng)常喜歡下載一些漏洞掃描軟件，這掃掃，那掃掃，自然也掃出很多“高危漏洞”。看到這些高危漏洞，你是不是有點(diǎn)小緊張呢？那么看完這篇文章，你會(huì)了解這Oracle patch的原理，也就豁然了。

針對(duì)常見(jiàn)的漏洞掃描軟件，Oracle官方明確表達(dá)，不授權(quán)和認(rèn)可任何第三方軟件的漏洞掃描結(jié)果。

而事實(shí)上，漏洞掃描軟件，也真的沒(méi)有做到高大上的功能，它們并沒(méi)有技術(shù)能力發(fā)現(xiàn)Oracle軟件自身的漏洞。很多漏洞都是在一些******之后，Oracle原廠自行修復(fù)，并提供相應(yīng)的補(bǔ)丁來(lái)防止相關(guān)風(fēng)險(xiǎn)的發(fā)生。很多掃描軟件，不但沒(méi)有做到高大上，在Oracle漏洞方面，做的卻非常業(yè)余。

只不過(guò)通過(guò)檢查Oracle的軟件補(bǔ)丁發(fā)布情況，和DB是否應(yīng)有最新的Patch，而報(bào)出漏洞的信息，來(lái)嚇唬客戶，體現(xiàn)自身低微的價(jià)值。

這些第三方軟件所做的工作，對(duì)應(yīng)Oracle來(lái)說(shuō)，就是很簡(jiǎn)單的一個(gè)檢查步驟（一條命令，兩個(gè)文檔列表），就能解決是否存在漏洞的問(wèn)題。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
一個(gè)命令：
$ORACLE_HOME/OPatch/opatch lsinventory
Patch列表
Quick Reference to Patch Numbers for Database/GI PSU, SPU(CPU), Bundle Patches and Patchsets (Doc ID 1454618.1)
和CVE漏洞信息列表
http://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1. 既然掃描軟件掃描到漏洞，好吧，我們來(lái)看看他們的建議是什么呢？自然是打補(bǔ)丁了，但是打什么補(bǔ)丁呢？CPU，CPU，CPU啊，重要的事情說(shuō)三遍。

看看下面兩個(gè)漏洞的建議，需要應(yīng)用兩個(gè)不同的CPU來(lái)解決這個(gè)問(wèn)題（兩個(gè)CPU是不能同時(shí)打的，沖突）。

每當(dāng)我遇到這個(gè)建議的時(shí)候，都想說(shuō)：“大哥，出來(lái)混，專(zhuān)業(yè)一點(diǎn)好不好？做掃描軟件，超貴的License費(fèi)用，你就給我看這個(gè)？”

2. 下圖就是掃描軟件提供的報(bào)告

3. 我們來(lái)了解一下Oracle的Patch結(jié)構(gòu)，大家就清楚了。為什么第三方掃描軟件的不專(zhuān)業(yè)。

 One of Patch：針對(duì)一個(gè)bug，解決的方法

Merge Patch：針對(duì)多個(gè)bug，需要多個(gè)patch修復(fù)。但是patch的應(yīng)用，原本就是oracle software的文件替換，在多個(gè)patch修改同一個(gè)文件的不同位置時(shí)，就會(huì)出現(xiàn)沖突的情況。為了解決這個(gè)沖突，oracle提供了Merge patch，即將兩個(gè)小patch需要修改的代碼，融合到一個(gè)替換文件中。

Bundle patch：補(bǔ) 丁集，修復(fù)多個(gè)Bug。在Windows平臺(tái)上的Oracle沒(méi)有小補(bǔ)丁，只有這種Bundle Patch。 這種補(bǔ)丁集會(huì)周期性的發(fā)布（至少每季一次）。這種補(bǔ)丁集是累積型的（cumulative），也就是每個(gè)Bundle patch 會(huì)包含之前的所有的Bundle Patch。 比如Windows Bundle Patch 16，它會(huì)包含之前所有15個(gè)Bundle Patch，所以我們總是推薦安裝最新的Bundle Patch。Oracle的集群軟件和數(shù)據(jù)庫(kù)軟件的Window Bundle Patch是同一個(gè)，比如Windows Bundle Patch 16(補(bǔ)丁號(hào)16167942，既可以打在集群上，也可以打在數(shù)據(jù)庫(kù)上) 。

要了解Windows Bundle Patch的補(bǔ)丁號(hào)，可以參考MOS文檔：

Note 161549.1 Oracle Database, Networking and Grid Agent Patches for Microsoft Platforms

Critical Patch Update (CPU)：每季度發(fā)布一次，用來(lái)修復(fù)安全方面的一些補(bǔ)丁，是累積型的。目前已經(jīng)更名為Security Patch Update (SPU)。

點(diǎn)擊下面的鏈接查看各個(gè)CPU所修復(fù)的具體問(wèn)題：

http://www.oracle.com/technetwork/topics/security/alerts-086861.html

Patch Set Update (PSU)：每 季度發(fā)布一次，修復(fù)比較嚴(yán)重的一些問(wèn)題，包含每季的CPU，是累積型的。雖然在描述PSU的時(shí)候會(huì)用到數(shù)據(jù)庫(kù)版本第5位，比如Database PSU 11.2.0.3.5，但實(shí)際上打完P(guān)SU后并不會(huì)真正改變數(shù)據(jù)庫(kù)的版本，從v$version中看到的版本還是4位的(11.2.0.3.0)，第5位 仍然是0。注意，Windows上沒(méi)有CPU和PSU，Oracle的集群軟件和數(shù)據(jù)庫(kù)軟件使用不同的PSU。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

上面引用Oracle官方blog https://blogs.oracle.com/database4cn/oracle-v4

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

4. 這里，我們比較關(guān)心的是CPU和PSU的關(guān)系，到底是什么？        

下面這段官方描述，解釋他們的關(guān)系：

Critical Patch Updates (CPU) address security vulnerabilities, Patch Set Updates (PSU) address proactive, critical fixes and security vulnerabilities.

The Patch Set Updates and Critical Patch Updates that are released each quarter contain the same security fixes. However, they use different patching mechanisms, and Patch Set Updates include both security and recommended bug fixes. Consider the following guidelines when you are deciding to apply Patch Set Updates instead of Critical Patch Updates.

• Critical Patch Updates are applied only on the base release version, for example 10.2.0.4.0.

• Patch Set Updates can be applied on the base release version or on any earlier Patch Set Update. For example, 11.1.0.7.2 can be applied on 11.1.0.7.1 and 11.1.0.7.0.

• Once a Patch Set Update has been applied, the recommended way to get future security content is to apply subsequent Patch Set Updates. Reverting from an applied Patch Set Update back to the Critical Patch Update, while technically possible, requires significant time and effort, and is not advised.

For more information on Patch Set Updates, see Note 854428.1, Patch Set Updates for Oracle Products.

總結(jié)：就是PSU包含CPU， PSU可以累加往上應(yīng)用，但是CPU必須先回滾，才能繼續(xù)應(yīng)用。

Oracle Support很多年，似乎客戶都是使用PSU來(lái)修復(fù)問(wèn)題，極少有客戶使用CPU的，畢竟PSU的延續(xù)性，似乎更好。

5. 概念都了解之后，我們?cè)倩仡^看掃描軟件掃描出的漏洞，我們?cè)撊绾谓鉀Q。

漏洞查詢網(wǎng)址如下

 http://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html

（如果這個(gè)連接失效，使用下面步驟進(jìn)入到CVE的信息查詢頁(yè)面

 OPN.oracle.com -> Topic Centers (www.oracle.com/technetwork/topics/index.html) -> Security -> View the most recent Critical Patch Update Advisory -> Map of Public Vulnerability to Advisory/Alert  

6. 例如，下面提示的漏洞，根據(jù)漏洞發(fā)現(xiàn)時(shí)間，結(jié)合文檔，根據(jù)修復(fù)日期，查找相對(duì)應(yīng)的PSU/CPU復(fù)Quick Reference to Patch Numbers for Database PSU, SPU(CPU), Bundle Patches and Patchsets (Doc ID 1454618.1)

可以查詢到11.2.0.3.13(發(fā)布的時(shí)間是 JAN2015)版本之后的PSU，就已經(jīng)修復(fù)了下面這些問(wèn)題了。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Oracle Database Server JPublisher組件代碼執(zhí)行漏洞(CVE-2014-6546)  -------------CVE-2014-6546       Oracle Critical Patch Update October 2014
Oracle Database Server JPublisher組件代碼執(zhí)行漏洞(CVE-2014-6545)  -------------CVE-2014-6545       Oracle Critical Patch Update October 2014
Oracle Database Server Java VM組件代碼執(zhí)行漏洞(CVE-2014-6467)     -------------CVE-2014-6467       Oracle Critical Patch Update October 2014
Oracle Database Server SQLJ組件代碼執(zhí)行漏洞(CVE-2014-6455)        -------------CVE-2014-6455       Oracle Critical Patch Update October 2014
Oracle Database 遠(yuǎn)程安全漏洞(CVE-2014-2406)                       -------------CVE-2014-2406       Oracle Critical Patch Update April 2014
Oracle Database 遠(yuǎn)程安全漏洞(CVE-2014-2408)                       -------------CVE-2014-2408       Oracle Critical Patch Update April 2014
Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2014-4236)                  -------------CVE-2014-4236       Oracle Critical Patch Update July 2014
Oracle Database Server Jpublisher組件漏洞(CVE-2014-6477)           -------------CVE-2014-6477       Oracle Critical Patch Update October 2014
Oracle Database Server Spatial組件本地安全漏洞（CVE-2014-0378）    -------------CVE-2014-0378       Oracle Critical Patch Update January 2014
Oracle Database Server Core RDBMS組件遠(yuǎn)程安全漏洞（CVE-2013-5858）  -------------CVE-2013-5858       Oracle Critical Patch Update January 2014
Oracle Database Server Core RDBMS組件遠(yuǎn)程信息泄露安全漏洞（CVE-2014-0377） -----CVE-2014-0377       Oracle Critical Patch Update January 2014
Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2014-4237)                  -------------CVE-2014-4237       Oracle Critical Patch Update July 2014
Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2014-4245)                   -------------CVE-2014-4245       Oracle Critical Patch Update July 2014
Oracle Database Server Java VM組件代碼執(zhí)行漏洞(CVE-2014-6560)        ------------- CVE-2014-6560       Oracle Critical Patch Update October 2014
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

7. 文檔數(shù)據(jù)庫(kù)patch版本列表

Quick Reference to Patch Numbers for Database PSU, SPU(CPU), Bundle Patches and Patchsets (Doc ID 1454618.1)

看完本文，是不是發(fā)現(xiàn)那些騙錢(qián)的“掃描軟件”真的很Low？

一條命令，兩個(gè)文檔。完美解決“掃描軟件”解決的問(wèn)題，并且，在PSU和CPU（SPU）這件事上，“掃描軟件”的工程師們，明顯不了解Oracle的游戲規(guī)則。

真心奉勸：“大哥，出來(lái)混，專(zhuān)業(yè)一點(diǎn)，好不好？不要天天沒(méi)事刷存在感，研究研究?jī)?nèi)在的原理和規(guī)則，你們會(huì)做的更好。"

針對(duì)Patch,是不是要打上。雖然Oracle官方推薦是最新版本的數(shù)據(jù)庫(kù)，應(yīng)用最新發(fā)布的PSU。

但是對(duì)于生產(chǎn)系統(tǒng)，還是建議慎重。如果沒(méi)有遇到嚴(yán)重的安全隱患，和bug問(wèn)題，不建議去打patch。

PSU的升級(jí)，還好。release版本的升級(jí)，就必須要經(jīng)過(guò)嚴(yán)格的性能測(cè)試的，不同版本的CBO等優(yōu)化器的理念都是有差異的。不測(cè)試的升級(jí)，很可能直接導(dǎo)致升級(jí)后的系統(tǒng)水土不服，慎重癱瘓。（我也是真正遇到過(guò)一個(gè)工廠的核心生產(chǎn)系統(tǒng)，11.2.0.2升級(jí)到11.2.0.4，系統(tǒng)完全無(wú)法使用，不得不回滾的情況）。

所以Patch是好東西，但是也要按需“服用”。

補(bǔ)充，Oracle大版本軟件，是可以在ww.oracle.com上下載的（當(dāng)然，商業(yè)使用是需要付License費(fèi)的）。

可以下載的版本是11.2.0.1.0,12.0.1.2.0,12.2.0.1.0

只有買(mǎi)了Oracle support服務(wù)（每年付費(fèi)），有metalink賬號(hào)，才能登陸metalink.oracle.com下載任何需要的Patch的。沒(méi)有賬號(hào)，就無(wú)法下載。

在補(bǔ)充，剛剛原廠專(zhuān)家Time'Square美女更正，12.2版本之后,PSU改名叫RU了，看來(lái)我真的OUT了。

你的支持，我的動(dòng)力，謝謝！