摘要:绿盟针对Oracle数据库的漏洞扫描太不专业了,让甲方不要迷恋漏洞评分,或者拿去怼怼”坑爹“的绿盟吧。
绿盟号称是在企业安全市场占有率最高的公司,拥有自己的产品和服务,涉猎企业IT环境中的几乎所有的服务器、软件的安全问题,这几年由于安全问题越来越被重视,这类安全公司确实也跟着火了。
通过原厂确认,首先Oracle不认可任何第三方软件的漏洞扫描结果,其次绿盟的漏洞扫描机制简单粗暴,基本上没有可信度,后来和甲方DBA达成共识:1、安装最新的PSU,2、通过技术手段屏蔽绿盟的扫描。
最终结局多数是让DBA出个报告,目的是验证漏洞CVE在历史补丁集的修复时间,这个报告需要查询oracle metalink上大量文章,因为要找到漏洞CVE在oracle补丁集更新中修复说明。
下面这套文档,可以帮您完成这项报告工作,
年度 | 文档(各季度漏洞修复)(点击下面看明细) | 高危CVE漏洞在历史补丁集的修复时间 (点击下面项查看明细) | |||
2019 | 1月 | 4月 | 7月 | 10月 | CVE-2019-2516 CVE-2019-2518 CVE-2019-2619 CVE-2019-2799 |
2018 | 1月 | 4月 | 7月 | 10月 | CVE-2018-2680 CVE-2018-2841 CVE-2018-2939 CVE-2018-3259 CVE-2018-3299 CVE-2018-11058 |
2017 | 1月 | 4月 | 7月 | 10月 | CVE-2017-3310 CVE-2017-3486 CVE-2017-10190 CVE-2017-10202 CVE-2017-10321 |
2016 | 1月 | 4月 | 7月 | 10月 | CVE-2016-0499 CVE-2014-2406 CVE-2016-3454 CVE-2016-3479 CVE-2016-3506 CVE-2016-3609 CVE-2016-5555 |
2015 | 1月 | 4月 | 7月 | 10月 | CVE-2015-0457 CVE-2015-2629 CVE-2015-4794 CVE-2015-4796 CVE-2015-4863 CVE-2015-4873 |
2014 | 1月 | 4月 | 7月 | 10月 | CVE-2014-6453 CVE-2014-6455 CVE-2014-6467 CVE-2014-6545 CVE-2014-6546 CVE-2014-6560 CVE-2014-6567 |
2013 | 1月 | 4月 | 7月 | 10月 | |
2012 | 1月 | 4月 | 7月 | 10月 | |
2011 | 1月 | 4月 | 7月 | 10月 | |
2010 | 1月 | 4月 | 7月 | 10月 |
