This post is also available in: English
No dia 17 de Janeiro deste ano a Oracle lançou os seus PSUs trimestrais conforme agendado.
Para a versão 12.1.0.2 estava tudo OK quanto ao DB PSU, GI PSU, DBBP e OJVM PSU.
Entretanto, para a versão 11.2.0.4, apens o OJVM PSU de Jan 2017 foi lançado. Todos os combos vieram com a versão de Oct 2016 para os DB/GI fixes + Jan 2017 OJVM, como pode ver abaixo:
Fonte: 756671.1 (Oracle Recommended Patches -- Oracle Database) - https://support.oracle.com/epmos/faces/DocumentDisplay?id=756671.1
Por que este comportamento apenas para a versão 11.2.0.4? Note que a 12.1.0.1 parou em "Jul 2016" e a 11.2.0.3 parou em "Jul 2015". Por que este comportamento precoce com a 11.2.0.4?
Verificando a matriz de riscos em "Oracle Critical Patch Update Advisory - January 2017":
CVE# | Component | Package and/or Privilege Required | Protocol | Remote Exploit without Auth.? |
CVSS VERSION 3.0 RISK (see Risk Matrix Definitions) | Supported Versions Affected | Notes | ||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Base Score |
Attack Vector |
Attack Complex |
Privs Req'd |
User Interact |
Scope | Confid- entiality |
Inte- grity |
Avail- ability |
|||||||
CVE-2017-3310 | OJVM | Create Session, Create Procedure | Multiple | No | 9.0 | Network | Low | Low | Required | Changed | High | High | High | 11.2.0.4, 12.1.0.2 | |
CVE-2017-3240 | RDBMS Security | Local Logon | Oracle Net | No | 3.3 | Local | Low | Low | None | Un- changed |
Low | None | None | 12.1.0.2 |
Fonte: http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html
A tabela acima mostra que as correções de Segurança para a 11.2.0.4 estavam apenas relacionadas ao OJVM, enquanto para a 12.1.0.2 também tiveram correções para o Banco de Dados. Essa poderia ser uma das razões, mas o CPU é apenas uma parte do pacote da PSU. Vamos investigar mais a fundo.
Verificando o MOS Doc 2203916.1 no item 3.1.4.3 - Oracle Database 11.2.0.4, temos:
Fonte: 2203916.1 (Patch Set Update and Critical Patch Update January 2017 Availability Document) - https://support.oracle.com/epmos/faces/DocumentDisplay?id=2203916.1
There are no Database SPU or PSU or Exadata BP for 11.2.0.4 for Jan 2017 cycle as there are no new CPU security vulnerabilities applicable. Future patches are planned until end of Error Correction listed in the table above.
A resposta está lá. A Oracle decidiu ignorar o PSU e o DBBP para Jan 2017 pois não teve qualquer CPU relacionado ao SGBD no período. O problema é que, por definição, "Patch Set Updates (PSU) are the same cumulative patches that include both the security fixes and priority fixes.". Ou seja, ele também inclui correções prioritárias. E aonde estão os bug fixes para o período?
Ainda intrigado, abri um ticket de na Oracle perguntando sobre este caso. A resposta foi que as minhas conclusões estavam corretas e infelizmente a Oracle não irá providenciar um PSU para 11.2.0.4 em January 2017. Obrigado Oracle por esquecer das versões antigas, forçando os one-off patches para falhas pontuais. Por sinal, o suporte para a 11.2 termina apenas em Dez 2020. Mas fiquem espertos pois, pelo visto, até lá apenas correções drásticas serão fornecidas trimestralmente.
Gostou? Não deixe de comentar ou deixar um 👍!