«

»

jan 19

Onde estão o DB PSU e DBBP da versão 11.2.0.4.170117 ?

This post is also available in: English

No dia 17 de Janeiro deste ano a Oracle lançou os seus PSUs trimestrais conforme agendado.

Para a versão 12.1.0.2 estava tudo OK quanto ao DB PSU, GI PSU, DBBP e OJVM PSU.

Entretanto, para a versão 11.2.0.4, apens o OJVM PSU de Jan 2017 foi lançado. Todos os combos vieram com a versão de Oct 2016 para os DB/GI fixes + Jan 2017 OJVM, como pode ver abaixo:

Fonte: 756671.1 (Oracle Recommended Patches — Oracle Database) – https://support.oracle.com/epmos/faces/DocumentDisplay?id=756671.1

 

Por que este comportamento apenas para a versão 11.2.0.4? Note que a 12.1.0.1 parou em “Jul 2016” e a 11.2.0.3 parou em “Jul 2015”. Por que este comportamento precoce com a 11.2.0.4?

 

Verificando a matriz de riscos em “Oracle Critical Patch Update Advisory – January 2017”:

 

CVE# Component Package and/or Privilege Required Protocol Remote
Exploit
without
Auth.?
CVSS VERSION 3.0 RISK (see Risk Matrix Definitions) Supported Versions Affected Notes
Base
Score
Attack
Vector
Attack
Complex
Privs
Req’d
User
Interact
Scope Confid-
entiality
Inte-
grity
Avail-
ability
CVE-2017-3310 OJVM Create Session, Create Procedure Multiple No 9.0 Network Low Low Required Changed High High High 11.2.0.4, 12.1.0.2
CVE-2017-3240 RDBMS Security Local Logon Oracle Net No 3.3 Local Low Low None Un-
changed
Low None None 12.1.0.2

Fonte: http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

 

A tabela acima mostra que as correções de Segurança para a 11.2.0.4 estavam apenas relacionadas ao OJVM, enquanto para a 12.1.0.2 também tiveram correções para o Banco de Dados. Essa poderia ser uma das razões, mas o CPU é apenas uma parte do pacote da PSU. Vamos investigar mais a fundo.

Verificando o MOS Doc 2203916.1 no item 3.1.4.3 – Oracle Database 11.2.0.4, temos:

Fonte: 2203916.1 (Patch Set Update and Critical Patch Update January 2017 Availability Document) – https://support.oracle.com/epmos/faces/DocumentDisplay?id=2203916.1

 

There are no Database SPU or PSU or Exadata BP for 11.2.0.4 for Jan 2017 cycle as there are no new CPU security vulnerabilities applicable. Future patches are planned until end of Error Correction listed in the table above.

 

A resposta está lá. A Oracle decidiu ignorar o PSU e o DBBP para Jan 2017 pois não teve qualquer CPU relacionado ao SGBD no período. O problema é que, por definição, “Patch Set Updates (PSU) are the same cumulative patches that include both the security fixes and priority fixes.“. Ou seja, ele também inclui correções prioritárias. E aonde estão os bug fixes para o período?

Ainda intrigado, abri um ticket de na Oracle perguntando sobre este caso. A resposta foi que as minhas conclusões estavam corretas e infelizmente a Oracle não irá providenciar um PSU para 11.2.0.4 em January 2017. Obrigado Oracle por esquecer das versões antigas, forçando os one-off patches para falhas pontuais. Por sinal, o suporte para a 11.2 termina apenas em Dez 2020. Mas fiquem espertos pois, pelo visto, até lá apenas correções drásticas serão fornecidas trimestralmente.

Gostou? Não deixe de comentar ou dar um like. Abraços e até a próxima!

Deixe uma resposta

O seu endereço de email não será publicado Campos obrigatórios são marcados *

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">