Oracle今年4月關鍵補丁更新(Critical Patch Update)涉及多款產品中的136個漏洞，其中最大的變化是切換到通用安全漏洞評分系統3.0版本或者說CVSSv3，該版本可更準確反映漏洞帶來的影響。

[[165918]]

Oracle公司在其補丁公告中指出，這個關鍵補丁更新中的漏洞同時使用3.0和2.0版本的通用安全漏洞評分系統來評分，但未來CPU和安全警報將僅使用CVSS 3.0評分。

Tripwire公司漏洞和披露研究小組(VERT)經理Tyler Reguly表示，轉到CVSS 3.0可能是本月Oracle補丁公告中唯一的好消息。

Oracle的CPU因為可讀性的限制總是很難處理大量數據，Reguly表示：“雖然可能并不完美，但CVSSv3確實比CVSSv2有改進，這使得漏洞評分可更好地用于補丁優先級。”

“此外，Oracle從來沒有使用真正的CVSSv2，而是利用自身修改版本的CVSSv2，關聯其他數據來源，”他繼續說道，“不過，CVSSv3還沒有被廣泛采用，很多表示提供CVSSv3支持的供應商和數據源迄今都沒有兌現承諾，這限制了CVSSv3在相關漏洞信息中的有效性。”

Reguly補充說：“對于現在進行修復的企業來說，首要一步是知道企業環境中的Oracle產品(有時候我們會忘記有多少產品)，并在CPU中識別它們。本月的補丁公告中，你可以先處理CVSS評分超過9.0的漏洞，再處理超過7.0的漏洞。在這種情況下，CVSS評分提供了最佳的優先指標。”

Oracle補丁現在涵蓋多項產品，包括Fusion Middleware、PeopleSoft、Solaris、VM VirtualBox、MySQL和Java。轉到CVSS 3.0很值得關注，因為基于CVSS 3.0，被視為關鍵的Oracle補丁數量是17，而基于CVSS 2.0則是9;使用CVSS 3.0有25個漏洞被評為高嚴重性漏洞，使用CVSS 2.0則只有12個。

根據CVSS 3.0，最嚴重的漏洞出現在Oracle Fusion Middleware中(7個漏洞被評為9.8分);一個Solaris漏洞評為9.8;MySQL有兩個漏洞被評為9.8;還有三個Java SE漏洞被評為9.6。Java SE、Java VM、Oracle Field Service和Oracle FLEXCUBE中的漏洞也被評為9.0或更高。

Tripware公司安全研究人員Lane Thames表示，Java應該在優先級列表中，因為它的廣泛普及率，并且，攻擊者經常會針對新的Java漏洞開發漏洞利用。

Thames還指出，對于CVE-2016-0636可能會有一些混淆，這是Oracle3月安全警報中的漏洞。

“因為對CVE-2016-0636技術細節的公開披露，Oracle發布該漏洞的帶外補丁，”Thames稱，“這個漏洞沒有列在4月的CPU部分，但受影響版本的補丁級別還是一樣。有些人可能會質疑這個最新版本的CPU是否包含針對該漏洞的代碼修復。”

除了對CVE-2016-0636的擔憂外，Thames表示：“管理員還應該觀察到，CPU修復了幾個關鍵漏洞，這些漏洞可能影響服務器和客戶端安裝，并可能在沒有驗證的情況下遠程通過網絡來利用。”

“管理員還應該注意到，特定主機可能包含多個Java安裝。同樣地，各種應用會嵌入自己的Java副本。正因為這樣，現在企業IT面臨復雜的Java修復環境，”Thames稱，“除Java之外，我建議專注于服務器端的補丁，面向互聯網的服務有最高優先級。這個規則的唯一特例是當已知漏洞利用可用時。”