打补丁集更新(PSU)是解决ORACLE漏洞的办法。
一、注意事项:
1. 补丁集更新(PSU)是累计的
理解:高版本的PSU包含了低版本的PSU;
当检测报出需要做更新,并提示某历史年代的补丁更新(PSU),那只需要打最新版本的PSU就够了,无需把历史年代的逐个打一遍。
2. 从11g开始,补丁集更新(PSU),分成了2个
DBPSU(先执行);
OJVMPSU(后执行,因为OJVM PSU需要依赖于DB PSU)。
二、准备工作:
1. 停(实例、软件、进程)
理解:正在运行的程序,是无法改变和更新的。
否则:会报 ”无法锁定主产品清单,OPatch failed 73”
三、步骤:
1. OPatch替换为最新版本
虽然Oracle安装后,主目录下也带OPatch工具, 但通常版本较低,需要更新成较新的版本才能打补丁。具体不能低于哪个OPatch版本,在补丁集更新的压缩包中,有readme文件说明。
注意:32位和64位程序要匹配,不要搞混了。
2. 更新DB PSU数据库软件程序(即:opatchapply)
本质:是用opatch这个工具,把当前目录下的补丁集程序更新到当前的ORACLE_HOME当中。
3. 更新的数据词典(即:执行SQL代码部分)
本质:把ORALCE_HOME下已生成的SQL脚本,执行写入到ORACLE的系统数据词典表中(包括更新基表,过程,后台程序等)
4. 验证DB PSU补丁是否应用成功
5更新OJVM PSU数据库软件程序(即:opatchapply)
方法和DB PSU相同。
6. 更新OJVM PSU数据库的数据词典(即:执行SQL代码部分)
方法和DB PSU相同,注意执行SQL时,数据库实例的状态(OPEN 还是 UPGRADE)。
7 验证OJVM PSU补丁是否应用成功
四、补丁已打,但检测软件(绿盟等)还是报漏洞存在
1. 检测软件检测方法不准确:
打补丁集更新是更新数据库版本的第五位(如 11.2.0.4.19),而有些检测检测软件通常是检测前四位,导致补丁没有被检测软件识别。
解决办法:让检测软件商提供高版本的检测软件或更新。
2. 检测软件没有中心做最新补丁编号同步更新:
解决办法:让检测软件商从中心同步最新新的数据信息。
