Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Oracle Новый топик    Ответить
 Critical Patch Update Jan 2008 и вообще от CPUpatches  [new]
Sergey Lookin
Member

Откуда: Санкт-Петербург
Сообщений: 231
Конкретно по этому патчу (jan2008):
тут есть его описание,
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2008.html
но какое-то оно поверхностное, в частности для того что решить ставить его или нет мне хотелось бы знать какие ошибки безопасности в XML DB он фиксит.
Покопался на металинке, но не нашел описание конкретных дефектов.

И вообще у кого как поставлен процесс обработки этих CPU? Например у нас есть продукт и его инсталяции на заказчике, и нам надо принимать решение стоит ли ставить этот патч заказчикам и стоит ли тестировать наш продукт на этом патче.
22 янв 08, 16:58    [5187435]     Ответить | Цитировать Сообщить модератору
 Re: Critical Patch Update Jan 2008 и вообще от CPUpatches  [new]
StarWoofy
Member

Откуда: Moscow
Сообщений: 1005
Sergey Lookin

И вообще у кого как поставлен процесс обработки этих CPU? Например у нас есть продукт и его инсталяции на заказчике, и нам надо принимать решение стоит ли ставить этот патч заказчикам и стоит ли тестировать наш продукт на этом патче.


исключив пункт №1. "Работает - ничего не трогай" :-)
- Если компонента на которую выпущен CPU используется -

а) изучение issue этого CPU по конкретной версии для конкретной ОС у заказчика
б) серьезное тестирование системы с этим патчем (у заказчика)
в) накатка (если всё плохо - переход на "старую версию") - у заказчика
22 янв 08, 17:31    [5187735]     Ответить | Цитировать Сообщить модератору
 Re: Critical Patch Update Jan 2008 и вообще от CPUpatches  [new]
Sergey Lookin
Member

Откуда: Санкт-Петербург
Сообщений: 231
автор
а) изучение issue этого CPU по конкретной версии для конкретной ОС у заказчика

Возращаемся к первой части вопроса - как узнать issue?

http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2008.html
говорит: DB01 XML DB на 9,2,0,8 эксплойта нет.... и все. ни каких деталей.
22 янв 08, 17:42    [5187839]     Ответить | Цитировать Сообщить модератору
 Re: Critical Patch Update Jan 2008 и вообще от CPUpatches  [new]
StarWoofy
Member

Откуда: Moscow
Сообщений: 1005
Sergey Lookin
автор
а) изучение issue этого CPU по конкретной версии для конкретной ОС у заказчика

Возращаемся к первой части вопроса - как узнать issue?

http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2008.html
говорит: DB01 XML DB на 9,2,0,8 эксплойта нет.... и все. ни каких деталей.


Вообще-то имелось ввиду
Known Issues по установке патча.
Там же - в readme к патчу - указано какие компоненты патчатся.

По поводу "DB01 XML DB на 9,2,0,8" предлагаю запросить дополнительную информацию от саппорта. Насколько мне известно в открытый доступ баги/vuln выкладывать давно перестали. :-)
22 янв 08, 23:26    [5188813]     Ответить | Цитировать Сообщить модератору
 Re: Critical Patch Update Jan 2008 и вообще от CPUpatches  [new]
StarWoofy
Member

Откуда: Moscow
Сообщений: 1005
Sergey Lookin

http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2008.html
говорит: DB01 XML DB на 9,2,0,8 эксплойта нет.... и все. ни каких деталей.

[/quot]
pps.
Если вы про секцию
2.1 Bugs Fixed by This Patch

-
она на месте.
22 янв 08, 23:28    [5188819]     Ответить | Цитировать Сообщить модератору
 Re: Critical Patch Update Jan 2008 и вообще от CPUpatches  [new]
Sergey Lookin
Member

Откуда: Санкт-Петербург
Сообщений: 231
StarWoofy

pps.
Если вы про секцию
2.1 Bugs Fixed by This Patch

-
она на месте.


Где? В ссылке что я привел нет такой секции, в каком документе вы нашли ее, киньте мне ссылку (даже если это металинк).
23 янв 08, 10:24    [5189823]     Ответить | Цитировать Сообщить модератору
 Re: Critical Patch Update Jan 2008 и вообще от CPUpatches  [new]
Sergey Lookin
Member

Откуда: Санкт-Петербург
Сообщений: 231
StarWoofy


исключив пункт №1. "Работает - ничего не трогай" :-)
- Если компонента на которую выпущен CPU используется -


К сожаления для Security патчей принцип "Работает - ничего не трогай", очень плохо применим.
23 янв 08, 12:18    [5190938]     Ответить | Цитировать Сообщить модератору
 Re: Critical Patch Update Jan 2008 и вообще от CPUpatches  [new]
Sergey Lookin
Member

Откуда: Санкт-Петербург
Сообщений: 231
StarWoofy

Если вы про секцию
2.1 Bugs Fixed by This Patch
она на месте.

Да я нашел эту секцию в Readme самого патча.
Но там не очень удобно:
нет разбиения на компоненты, поэтому придеться изучать почти все дефекты
и в связи с тем что патч коммулятивный, он видимо еще и рекурсивный, т.к. MERGE LABEL REQUEST ON TOP OF 9.2.0.0 - означает что нужно открыть readme того патча и читать дефекты из него.

и правильно я понимаю что аббревиатура MLR == MERGE LABEL REQUEST ?
23 янв 08, 12:20    [5190978]     Ответить | Цитировать Сообщить модератору
 Re: Critical Patch Update Jan 2008 и вообще от CPUpatches  [new]
Sergey Lookin
Member

Откуда: Санкт-Петербург
Сообщений: 231
Закрываю топик.
Оракл ответил мне, что они не дадут подробную информацию о пофикшенных проблемах безопасности.
23 янв 08, 17:41    [5193688]     Ответить | Цитировать Сообщить модератору
Все форумы / Oracle Ответить