Oracle发布136个安全补丁，适用于各种产品

Oracle发布了另一个怪物季度安全更新，其中包含了136个修复的缺陷，包括Oracle数据库服务器，电子商务套件，融合中间件，Oracle Sun产品，Java和MySQL。

最大的变化是Oracle采用了常见的漏洞评分系统（CVSS）3.0版，这更准确地反映缺陷的影响而不是CVS 2.0。此Oracle关键补丁更新（CPU）具有CVSS 3.0和CVSS 2.0分数，可用于漏洞，提供有机会比较新评级系统如何影响组织内部的Oracle补丁优先级。

一个立即明显的变化是，基于CVSS 2.0规模的最高分数为10.0级，但在使用CVSS 3.0等级时，有五个漏洞。乍一看，这将建议基于CVSS 3.0，缺陷被评为不太关键，但这不是真的。

虽然没有10.0分的缺陷，但此CPU中的缺陷数量基于其CVSS 3.0得分为3.17，而基于CVSS 2.0相比为9。类似地，使用CVSS 3.0，25个缺陷作为高度严重程度，与仅使用CVSS 2.0仅使用CVSS 3.0相比。

基于CVSS 2.0的CVSS 2.0，低严重程度缺陷的数量也从28减少到仅基于CVSS 3.0。这表明总体而言，与CVSS 2.0相比，CVSS 3.0增加了漏洞的严重程度等级。

“首先，我很高兴看到得分系统的这种变化，因为有关CVSS v.2.0的质量的讨论，亚历山大Polyakov，CTO在漏洞情报公司橄榄师委员会，通过电子邮件。“例如，由于该评分系统中的一些缺陷，供应商可以根据其产品中发现的问题减少（故意或无意）。现在，最近更新的系统更准确，有很多影响以前版本的缺点都得到了解决。“

具有漏洞的Oracle产品，评为高（CVSS 3分，从7.0到8.9）和关键（得分9.0至10.0）是：Oracle数据库服务器，Oracle Enterprise Manager网格控制，Oracle E-Business Suite，Oracle供应链产品套件，Oracle PeopleSoft产品，Oracle金融服务软件，Oracle Java SE，Oracle Sun Systems产品，Oracle Virtualization，Oracle MySQL和Oracle Berkeley DB。