概述

日常系统维护过程中，利用nessus漏洞扫描工具可对oracle数据库进行漏洞扫描，我们可依据输出漏洞扫描报文对数据库升级安全补丁，本期文章就向各位小伙伴总结分享关于Oracle数据库升级安全补丁的文章。

Oracle数据库部署环境

Centos8操作系统上部署Oracle数据库；

Centos8操作系统版本，如下所示；

[root@localhost ~]# cat /etc/redhat-release

CentOS Linux release 8.2.2004 (Core)

Oracle数据库版本：19c；

Oracle数据库安全补丁文件获取

安全补丁文件的相关概念

CPU: Critical Patch Update

Oracle对于其产品每个季度发行一次的安全补丁包，通常是为了修复产品中的安全隐患。

PSU: Patch Set Updates

Oracle对于其产品每个季度发行一次的补丁包，包含了bug的修复。Oracle选取被用户下载数量多的，并且被验证过具有较低风险的补丁放入到每个季度的PSU中。在每个PSU中不但包含Bug的修复而且还包含了最新的CPU。

OJVM PSU主要是针对oracle java VM。从2014年10月开始Oracle JavaVM组件作为一个单独的部分来进行安装。之前是包含在oracle rdbms psu中。

只要oracle db中安装jvm组件，就需要安装对应版本的oracle JavaVM PSU。如果只是打了rdbms的PSU，安全漏洞检查就会检查出jvm的安全漏洞。

"Oracle JavaVM Component Database PSU" (OJVM PSU) Patches (文档 ID 1929745.1)

安全补丁文件下载

第1种方式：在Oracle技术支持网站上发起“服务请求”并要求对方把最新的安全补丁文件发给你，此时需要反馈当前Oracle数据库的RU版本；

Linux环境中登录数据库的账户使用命令：$ORACLE_HOME/OPatch/opatch lsinventory查看数据库的RU版本；

第2种方式：在Oracle技术支持网站，根据Oracle数据库的版本及运行环境搜索最新的补丁文件，操作方式如下图所示；

备注：

1. Oracle数据库安全补丁是累积，即最新的安全补丁包含之前的安全补丁；
2. 登录Oracle技术支持网站，并且账户有权限才可下载安全补丁文件；
3. 刚刚获得下载补丁文件权限的账户，要清除浏览器的缓存，重新登录Oracle技术支持网站，否则该网站一致提醒无下载该补丁文件的权限；

安全补丁文件说明

下载安全补丁是压缩文件，压缩格式是xxx.zip；

解压缩该压缩文件，“README”文件即是Oracle数据库安装安全补丁的操作指导；

重点关注1：安装补丁所需OPatch工具的版本以及工具环境变量的设置；

如下图所示，安装“p33515361_190000_Linux-x86-64”补丁需要OPatch工具版本是12.2.0.1.28及更高的版本；

重点关注2-该补丁与当前数据库的冲突检测

Oracle数据库安装安全补丁文件操作记录

操作过程说明

预约申请Oracle数据库停机时间段；

Oracle数据库数据备份；

记录当前Oracle数据库的RU版本；

把安全补丁文件及OPatch工具上传到Oracle账户目录下；

解压缩上传的OPatch压缩文件并替换原先的OPatch文件并配置环境变量；

解压缩安全补丁文件，检测该文件与当前数据库是否存在冲突；

停止Oracle数据库服务并安装补丁；

补丁安装完成后，启动Oracle数据库服务并查询升级后的版本；

验证测试业务是否恢复正常；

漏洞扫描设备再次扫描数据库服务系统查看安全补丁是否有效；

详细操作记录

记录当前Oracle数据库的RU版本；

获知当前OPatch工具版本信息、Oracle数据版当前版本以及安装补丁的信息；

[oracle@localhost ~]$ $ORACLE_HOME/OPatch/opatch lsinventory

Oracle Interim Patch Installer version 12.2.0.1.17

………………省略信息………………

Installed Top-level Products (1):

Oracle Database 19c 19.0.0.0.0

There are 1 products installed in this Oracle Home.

Interim patches (2) :

Patch 29585399 : applied on Thu Apr 18 15:21:33 CST 2019

Unique Patch ID: 22840393

Patch description: "OCW RELEASE UPDATE 19.3.0.0.0 (29585399)"

Created on 9 Apr 2019, 19:12:47 hrs PST8PDT

Bugs fixed:

………………省略信息………………

Patch 29517242 : applied on Thu Apr 18 15:21:17 CST 2019

Unique Patch ID: 22862832

Patch description: "Database Release Update : 19.3.0.0.190416 (29517242)"

Created on 17 Apr 2019, 23:27:10 hrs PST8PDT

Bugs fixed:

………………省略信息………………

解压缩上传的OPatch压缩文件并替换原先的OPatch文件并配置环境变量

#查看$ORACLE_HOME目录

[oracle@localhost ~]$ cd $ORACLE_HOME

[oracle@localhost db_1]$ pwd

/u01/app/oracle/product/19.2.0/db_1

[oracle@localhost db_1]$

#把OPatch工具压缩文件拷贝到$ORACLE_HOME目录

[oracle@localhost ~]$ cp p6880880_122010_Linux-x86-64.zip $ORACLE_HOME

#在$ORACLE_HOME中删除原先的OPatch文件；

[oracle@localhost db_1]$rm -rf OPatch

#解压缩文件

[oracle@localhost db_1]$ unzip p6880880_122010_Linux-x86-64.zip

[oracle@localhost db_1]$ cd OPatch/

#查看OPatch替换后的版本

[oracle@localhost OPatch]$ cat version.txt

OPATCH_VERSION:12.2.0.1.29

[oracle@localhost OPatch]$

[oracle@localhost ~]$ unzip p33515361_190000_Linux-x86-64.zip

#临时设置OPatch环境变量

[oracle@localhost ~]$ export PATH=$PATH:/u01/app/oracle/product/19.2.0/db_1/OPatch

解压缩安全补丁文件，检测该文件与当前数据库是否存在冲突；

#解压缩安全补丁文件

[oracle@localhost ~]$ unzip p33515361_190000_Linux-x86-64.zip

[oracle@localhost ~]$ cd 33515361/

[oracle@localhost 33515361]$ pwd

/home/oracle/33515361

#冲突检测

[oracle@localhost 33515361]$ opatch prereq CheckConflictAgainstOHWithDetail -phBaseDir ./

Oracle Interim Patch Installer version 12.2.0.1.29

Copyright (c) 2022, Oracle Corporation. All rights reserved.

………………省略信息………………

Prereq "checkConflictAgainstOHWithDetail" passed.

OPatch succeeded.

[oracle@localhost 33515361]$

停止Oracle数据库服务并安装补丁

#停止Oracle数据库服务

[oracle@localhost ~]$ systemctl stop oracle19c.service

#安装安全补丁

[oracle@localhost 33515361]$ opatch apply

补丁安装完成后，启动Oracle数据库服务并查询升级后的版本

#启动Oracle数据库服务

[oracle@localhost ~]$ systemctl start oracle19c.service

#查询升级后的版本

[oracle@localhost ~]$ $ORACLE_HOME/OPatch/opatch lsinventory

Oracle Interim Patch Installer version 12.2.0.1.29

………………省略信息………………

Installed Top-level Products (1):

Oracle Database 19c 19.0.0.0.0

There are 1 products installed in this Oracle Home.

Interim patches (2) :

Patch 33515361 : applied on Fri Mar 11 16:25:35 CST 2022

Unique Patch ID: 24589353

Patch description: "Database Release Update : 19.14.0.0.220118 (33515361)"

Created on 13 Jan 2022, 06:14:07 hrs UTC

Bugs fixed:

………………省略信息………………

以上安装补丁的过程仅针对RDBMS（数据库服务），安装OJVM服务的补丁可采用同样的方式。

总结

以上总结分享，都是个人实践验证，希望各位小伙伴有所收获，不足之处，欢迎各位小伙伴留言指正。