TIP N° 1 : ¿ESTAS ACTUALIZADO?
Actualmente, Oracle ofrece las últimas actualizaciones de parches críticos (CPU) trimestralmente: enero, abril, julio y octubre de cada año. Oracle recomienda incorporar un plan de actualización para asegurarse de que está en versiones compatibles y aplicar los parches suministrados y las configuraciones recomendadas para proteger su entorno. Estos pueden venir como una actualización de conjunto de parches (PSU), un parche de paquete (BP) o una actualización de parche de seguridad (SPU) y el 2021 Oracle agrego para Weblogic una cuarta figura que comentaremos a continuación, pero antes estableceremos los tipos de mantenciones que Oracle recomienda.
Premier o Soporte Extendido (Incluido el ECP Periodo de Gracia)
Se recomienda planificar actualizaciones del Long Term Support (LTS) para las versiones. 10.3.6/11.1.1.9, 12.1.3, 12.2.1.4,14.1.1
La política de corrección de errores provee un periodo de gracia para actualizar una LTS por ejemplo pasar de la versión 12.2.1.3 a la versión 12.2.1.4
Parches Agrupados (Bundle Patches)
Los parches agrupados son para los productos de la suite como por ejemplo SOA, WebCenter, Oracle Access Manager.
Estos contienen correcciones de seguridad y de funcionalidades. Generalmente se aplica para el producto principal que estes usando de la suite.
Parche de Actualización Crica (Critical Patch Update: CPU)
El programa CPU entrega correcciones de vulnerabilidades de los productos de la suite y de sus componentes integrados como por ejemplo los JDBC, ADR, ADF, JAVA.
Como encontrar los parches críticos CPU para Oracle Fusion Middleware
Debes comenzar en este enlace: https://www.oracle.com/technetwork/topics/security/
Revisar los últimos reportes de seguridad y el documento de Parches Disponibles para el producto que tienes instalado.
El reporte de seguridad documenta las correcciones a las vulnerabilidades y provee un documento con los parches disponibles que corrigen el error para cada producto.
El documento de parches disponibles proveerá el parche para cada producto junto con la vulnerabilidad que corrige.
Último reporte disponible
CPU Abril 2022
https://www.oracle.com/security-alerts/cpuapr2022.html
Contiene:
Productos Afectados
Matriz de Riesgo
Información de Parches
Soluciones Alternativas
Productos y Versiones Soportadas
Te recomendamos agendar las fechas en las que aparecen los boletines, para este año nos quedan dos más el 19 de Julio y 19 de Octubre. Adicionalmente es buena idea añadir a tu página de favoritos el enlace al documento Document 2806740.2 que vemos en la siguiente imagen:
Como buena práctica Oracle recomienda una mantención regular de los ambientes que incluye lo siguiente:
1. Aplicar los últimos parches disponibles para tu instalación.
2. Aplicar los parches agrupados para el producto principal que estas usando en tu ambiente.
3. Aplicar los CPU para todos los productos y componentes de tu ambiente.En Abril de 2021 Oracle introdujo un nuevo tipo de parche para WebLogic llamado Stack Patch Bundle (SPB).
El SPB provee un único punto para bajar los CPU para las siguientes distribuciones de Weblogic:
· WLS Lite
· WLS Slim
· WLS Generic
· FMW Infrastructure (WebLogic Server for FMW) - WebLogic Server SPB cubre WLS, sin embargo, hay otros parches individuales que son específicos para FMW y otros productos de la suite FMW.
El SPB incluye los parches PSU y las actualizaciones individuales de parches agrupados, de todas maneras, puedes elegir entre instalar el SPB o los parches individuales.
El SPB provee una solución para aplicar los siguientes parches en una sola sesión:
Como saber cuáles son los ultimos parches instalados en mi ambiente
Antes de tratar de encontrar el CPU correcto para mi ambiente, necesitamos saber que parches ya están instalados y que distribuciones tenemos instaladas en nuestro Oracle Home.
Para saber que tengo instalado en mi ambiente, debo ejecutar lo siguiente:
Ir a Oracle_Home/OPatch y ejecutar: opatch lsinventory
La salida del comando muestra primero los datos de la maquina y luego la cantidad de parches instalados que en este caso son 15 y luego el detalle de cada parche mostrando en primer lugar el último parche instalado con el detalle de su fecha. Aquí vemos inmediatamente que no estamos con un ambiente actualizado.
Terminaremos este tip con una definición que hace poco dio Oracle a sus parches de manera de organizarlos de acuerdo con la función que cumplen: (El detalle de esto lo puedes ver en la siguiente nota: Doc ID 1430923.1)
Interim Patch: También conocido como: PSE, MLR, Exception release, One-Off, x-fix, Hotfix, Security One-Off. Es un parche que contiene una o mas correcciones realizadas para clientes que no podían esperar hasta la siguiente entrega de parches o de nuevas versiones para obtener una corrección.
Diagnostic Patch: También conocido como: test Patch, Fix Verification Binary (FVB), e-fix. Es un parche creado específicamente para diagnosticar un problema y no para corregir un problema o bug.
Bundle Patch (BP): También conocido como: Maintenance Pack, Service Pack, MLRs, Cumulative Patch, Update Release, Bundle Patch. Es un parche iterativo y acumulativo que se emite entre conjuntos de parches. Los parches de paquete generalmente incluyen solo correcciones, pero algunos pueden incluir mejoras menores. Algunos ejemplos son los paquetes de base de datos y los parches de paquete SOA.
Patch Set Update
(PSU): Parche trimestral que contiene las
correcciones más críticas para el producto aplicable, lo que permite a los
clientes aplicar un parche para evitar problemas. Estos se documentarán
en los documentos de My
Oracle Support y se
publicarán inicialmente desde el programa Critical Patch Update.
Por ejemplo, Oracle WebLogic Server tiene una fuente de alimentación entregada con el programa de la CPU donde el quinto dígito significa que la versión de la fuente de alimentación, p. 10.3.6.0.xx.
Security Patch Update
(SPU): Mas conocido como Critical Patch Update
(CPU). Parche iterativo y acumulativo que consta
de correcciones de seguridad. Anteriormente conocida como actualización de
parche crítico.
Las SPU son parches únicos para un solo producto o componente para corregir una vulnerabilidad de seguridad. Estos son acumulativos para el mismo producto o componente para el que se lanzaron, p. Oracle HTTP Server, teniendo en cuenta que otros componentes instalados juntos tendrán parches separados, p. OPMN y SSL instalados con OHS. Estos se documentarán en los documentos de My Oracle Support y se publicarán inicialmente desde el programa Critical Patch Update.
El nombre del programa que entrega las SPU seguirá llamándose Actualización de parche crítico (CPU), como se define a continuación:
Programa de Oracle para el lanzamiento trimestral de correcciones de seguridad. Los parches publicados como parte de este programa pueden ser actualizaciones de conjuntos de parches, actualizaciones de parches de seguridad y paquetes de parches. Independientemente del tipo de parche, los parches son acumulativos.
Stack Patch Bundle
(SPB): Un paquete de parches (SPB) empaqueta
todos los parches acumulativos lanzados con el programa de la CPU en un solo
paquete. Esto difiere de un paquete de parches (BP) o una actualización de
conjunto de parches (PSU) en que cada parche es en realidad un producto o
componente separado instalado con un producto principal, como WebLogic Server.
Juntos, estos componentes forman un "stack" de tecnología.
Un SPB agiliza el proceso de descarga, eliminando la cuestión de "qué parches aplicar" para una distribución instalada. Un SPB también proporcionará verificación de requisitos previos, proporcionará otro nivel de prueba de Oracle y un nuevo archivo Léame revisado minuciosamente y fácil de seguir.
Lo siguiente proporciona un punto de partida para usar un SPB para productos WebLogic Server o Identity Management:
Nota 2764636.1 Stack Patch Bundle (SPB) con la utilidad SPBAT para Oracle WebLogic Server
Nota 2657920.1 Paquete de parches de pila para productos Oracle Identity Management