虚拟修补——我听过的最大的废话

现在是我周一早上咆哮的时候了。 我想，我正在慢慢变成一个脾气暴躁的老人。 而今天，它是关于几周前我注意到的一些事情。 在理解了它的含义之后，我宣布虚拟补丁——我听过的最大的废话。

虚拟补丁？？

如果您是第一次阅读这个术语，您可能会像几周前在一家提供 Oracle 服务的公司的手册中读到“虚拟补丁”时一样，一开始可能会刮目相看。我确实问过与我分享它的人，我们都或多或少地想知道。如何“虚拟”修补？或者这是一种新的营销噱头，比如从外太空飞来的补丁？

补丁怎么可能是“虚拟的”？特别是因为我当然希望现实中的补丁是“非虚拟的”。

或者它是我迄今为止可能错过的一种新的魔法技术？

正如你们中的一些人所知，在我们的团队中，我们做了很多补丁。修补与数据库升级和迁移密切相关。在我们的参考项目中，我们帮助客户在上线之前正确设置他们的环境。此外，我们与全球的高级客户支持团队密切合作，同步我们的补丁知识。

但即使在我们的常规电话和电子邮件交流中，也没有人提到过“虚拟补丁”。

我与 Daniel 讨论了这个问题，他给我发了一个链接，指向 Oracle 顶级安全专家 Pete Finnigan 的博客文章。让我在他允许的情况下引用皮特（谢谢你，皮特！）：

http://www.petefinnigan.com/weblog/archives/00001481.htm
大约 15 年前开始出现的另一个选择是虚拟修补的想法。这是您不能或不想使用 Oracle 的安全补丁进行修补的想法，因此您部署的网络软件是应用程序防火墙或入侵检测/预防系统的特殊版本。它的工作方式是嗅探网络数据包（或附加和解析共享内存），并检测可能利用 Oracle 安全补丁中修复的问题的攻击。这很复杂，容易出错或被黑客绕过，并且需要虚拟补丁的供应商对 Oracle 修复的内容进行逆向工程（或猜测！）；然后找出如何利用该修复程序，然后如何检测可以破解数据库软件的漏洞利用程序。正如我上面所说，Oracle 不会发布修复内容的详细信息，因此这种虚拟补丁并不完美，并且涉及大量工作.是的，我可以看到，当某个特定系统的补丁无法快速应用但它不是完美的修复时，这样的产品可能会成为一个短期障碍。

所以起初，这个想法似乎比我想象的要长得多。这不是什么新鲜事。

但是“虚拟补丁”现在是真正的补丁了吗？

这完全是胡说八道

我很震惊——也很害怕。严重地。

“虚拟补丁”中绝对没有补丁。

零。

这就像把我的治愈之手放在你的系统上，并承诺从现在开始它会受到保护。如果你信任我，请给我发个 DM，反过来我会发给你我的秘密瑞士银行账户的号码（目前还不存在）。我想知道我可以并行“保护”多少个系统。不幸的是，我只有两只手，但由于修补是“虚拟的”，我的手也可以“虚拟”保护您的系统。我应该称它为“Mike 的魔法虚拟补丁 (MVP)”，并附上价格表。 [请注意：本段包含严重的讽刺和讽刺]

周一早上 10 点 50 分，我还在发泄。我真的看了很多，也读了很多。

但是拥有大型基础设施、关键业务环境的可靠客户——将赌注押在一个被称为“虚拟补丁”的承诺上？

让我解释一下为什么这完全是胡说八道。如果您不信任我，请再次阅读 Pete Finnigan 的博文。

这个违背承诺的想法是，一个无法访问 Oracle 代码的外部人员将能够为 Oracle 数据库环境设置一个周围的保护围栏，比如防火墙。也许它还包括安全补丁的逆向工程。顺便说一句，在我看来，这将违反许可协议。我只是无法预见在审计方面会发生什么。

但更糟糕的是，安全补丁通常不仅仅是 PL/SQL 包的新版本，或者被删除的 GRANT。它通常也是一个代码修复。你会相信一个没有代码访问权限的人建立的软件，它承诺这会保护你的环境吗？

祝你好运。

没有办法绕过安全补丁

我不确定在过去几周我是否经常向客户重复这个事实，尤其是对那些认为他们可以在未来几年继续使用 Oracle 11g 的客户。

您必须定期修补您的环境。 与季度补丁包相关的风险矩阵中可能不再提及您当前的版本这一事实仅意味着该版本不再受到错误修复支持。 但当然这并不意味着您的发布可能不会受到影响。

反过来通常是正确的。

请参阅最右边的列。没有列出 10g、11g、12.2.0.1 和 18c 的原因并不是这些版本可能不受影响。只是它不再受到任何形式的常规错误修复支持。

您应该始终牢记，在 Oracle 发布安全修复程序之日，当外部人员发现问题时，有关问题本身的信息可能已经在某个地方传播。在内部，我们也会发现安全问题，并尽快修复它们。

每季度打补丁以保护您的环境

我们都知道如果您不定期打补丁会发生什么，尤其是出于安全原因。由于我们都在 IT 领域，我们每个人都知道许多错过和推迟修补会话的例子，以及灾难性的结果。我也可以举几个例子，至少有一个造成了数十亿美元的损失，有人多年来拒绝升级 9i 数据库。

最有影响力的之一甚至成为拉里·埃里森在 OOW 2017 上的主题演讲：Equifax。

我剪掉了重要的场景——所以请用这 5 分钟仔细听：

有关完整的主题演讲视频，请参阅此链接。

我认为这里没有什么要补充的了。

您认为“虚拟修补”会保护您免受此类事件的影响吗？

如果你相信一个叫做“虚拟修补”的神话，你也会相信童话故事、独角兽和我神奇的治愈之手。

“虚拟补丁”中没有补丁。
绝对为零。

很长一段时间以来，虚拟修补显然是我听过的最大的废话。

原文标题：Virtual Patching – the biggest nonsense I’ve ever heard about
原文作者：Mike.Dietrich
原文地址：https://mikedietrichde.com/2022/08/08/virtual-patching-the-biggest-nonsense-ive-ever-heard-about/