本周,甲骨文公司在这一季度的关键漏洞修复计划中,修复了存在于46个不同产品中的136个漏洞。其中有一大半的漏洞(总共有72个)已经得到了相应的CVE编号,这些漏洞可以在没有经过身份认证的情况下被攻击者远程利用。除此之外,甲骨文公司还对一系列的产品进行了修复,包括Oracle数据库服务器,Oracle电子商务套件,Fusion Middleware中间件产品,还有此前Sun公司的产品线,例如Java SE平台和MySQL数据库。与上述产品相关的升级和修复程序已经于周二时间开始向广大用户推送。此次更新是该公司2016年的第二次批量修复了,与甲骨文公司传统的补丁更新相比,此次修复的漏洞数量已经大大降低了。而在今年一月份的漏洞修复计划中,甲骨文公司修复的漏洞数量高达248个。

其中有七个漏洞存在于Java SE,JRockit,Oracle的Unix操作系统Solaris,以及MySQL服务器之中,这些漏洞的评级均为10.0,这也就意味着这些漏洞全部都是高危漏洞。甲骨文公司还警告称,攻击者可以在不经过身份验证的情况下,对所有的这些漏洞进行远程利用。这也就意味着,攻击者可以在不需要用户名和密码的情况下,入侵目标系统,并实施攻击。

甲骨文公司表示,所有的产品线都会在这周内收到更新补丁的推送通知,其中针对Oracle MySQL数据库的更新补丁数量总共有31个,占据了总数的大部分,而其中有四个漏洞是可以被攻击者远程利用的。Oracle的Fusion Middleware中间件产品包含有第二多的漏洞修复补丁,总共有22个,而其中的21个漏洞都是可以被远程利用的。

为了给大家提供更精确的漏洞风险评估,甲骨文公司还对通用漏洞评估系统进行了版本升级(CVSS v.3.0)。新版本系统的检测结果显示,从技术角度出发,现在已经不存在评级为10.0的系统漏洞了。

CVSS系统,即“通用漏洞评分系统”,该系统诞生于2007年。它是信息安全行业的一个公开标准,可以被设计用来评测漏洞的严重程度,并帮助安全技术人员确定所需反应的紧急度和重要度。CVSS是安全内容自动化协议(SCAP)的一部分,CVSS通常与CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。

它的主要目的是帮助人们建立衡量漏洞严重程度的标准,使得人们可以比较漏洞的严重程度,从而确定处理它们的优先级。CVSS评分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。得分7~10的漏洞通常被认为是高危漏洞,得分在4~6.9之间的是中级漏洞,0~3.9的则是低级漏洞。

甲骨文公司表示,利用v3.0版本的系统,技术人员已经对CVSS的基础评分系统重新进行了校准。 无论是Solaris系统中的漏洞,还是MySQL数据库中的漏洞,现在的基本评级均为9.8了,但是Java SE中的漏洞评级却有所上升。

在v2.0系统中,只有七个漏洞会被标记为高危漏洞,但是在v3.0系统中,总共有17个漏洞的评级超过了9.0,这也就意味着总共有17个漏洞被标记为乐高危漏洞。

此前,云计算安全厂商NopSec公司曾在其发表的最新漏洞研究报告中质疑通用安全漏洞评分系统(CVSS)的精确度,并在社交媒体上表示他们可以为关键漏洞提供更好的指标。

从严格意义上来讲,CVSS评分并不代表具体事件可能发生的概率。它只代表了公司被入侵成功的概率。

2015年6月份,V3.0版本的CVSS系统首次面世。对于甲骨文公司的安全研究人员而言,这个耗时三年开发出来的系统是一次划时代的进步。

甲骨文公司的安全专家Polyakov在周三接受Threatpost采访时表示:“我很高兴能够亲眼见证漏洞评分系统的进步和改变,而此前针对CVSS v2.0的质疑声也很多,很多人都已经开始怀疑v2.0系统的评分精确度了。比如说,大多数商业化漏洞管理软件都会以CVSS为基础,因此各个企业看待漏洞的视角通常是从CVSS得分出发。尽管CVSS在快速进行漏洞优先级排序和甄别漏洞方面效果显著,其排序速度往往还需要基于企业对其进行本地化配置的情况。这也就意味着,很多厂商会根据漏洞评分系统给出的结果来决定是否需要对某一漏洞进行快速响应,而准确度就成为了公司在进行决策时需要考虑的问题了。现在,这个系统也进行了更新,准确度得到了很大的提升,之前版本中存在的问题也得到了解决。”