全站搜索
资讯详情
Oracle全系产品2020年10月关键补丁更新通告
作者:管理员    发布于:2020-11-11 14:07:27    文字:【】【】【

一.  概述

2020年10月21日,Oracle官方发布了2020年10月关键补丁更新公告CPU(Critical Patch Update),此次更新修复了402个不同程度的漏洞,其中271个漏洞可被远程未经身份认证的攻击者利用。此次更新涉及Oracle Database Server、Oracle Weblogic Server、Oracle Java SE、Oracle MySQL等多个产品。各产品受影响情况及可用补丁请见附录。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。

参考链接:

https://www.oracle.com/security-alerts/cpuoct2020.html

二.  CPU修复漏洞总结

此次关键补丁更新(CPU)修复的漏洞中CVSS评分为9.8及以上的漏洞有247个,涉及Oracle Weblogic Server、Oracle MySQL、Oracle Systems、Oracle Fusion Middleware等多个产品。

其中Weblogic Serve存在多个高危漏洞,WebLogic IIOP JNDI 注入漏洞(CVE-2020-14841),(CVE-2020-14825) 与(CVE-2020-14859)导致攻击者可以在未授权的情况下通过IIOP/T3协议对存在漏洞的WebLogic组件进行远程攻击,通过禁用IIOP/T3协议进行防护可参考文章的4.2节https://mp.weixin.qq.com/s/ruQdLU4Rn3S62bRt7oz7oQ;(CVE-2019-17267)与(CVE-2020-14882)可导致攻击者能发送HTTP请求攻击WebLogic Server;此外还有以下WebLogic Server漏洞需要进行关注:(CVE-2020-14820、CVE-2020-14883、CVE-2020-14757、CVE-2020-11022)。

Oracle官方10月关键补丁更新漏洞总结如下:

产品

漏洞个数

未授权远程利用个数

最高CVSS评分

Oracle Database server

28

3

8.8

Oracle Big Data Graph

5

1

9.8

Oracle REST Data Services

7

2

9.8

Oracle TimesTen In-Memory Database

4

4

9.8

Oracle Communications Applications

9

8

9.8

Oracle Communications

52

41

9.8

Oracle Construction and Engineering

9

7

9.8

Oracle E-Business Suite

27

25

9.8

Oracle Enterprise Manager

11

10

9.8

Oracle Financial Services Applications

52

48

9.8

Oracle Food and Beverage Applications

4

3

6.1

Oracle Fusion Middleware

46

36

9.8

Oracle GraalVM

1

1

5.3

Oracle Health Sciences

4

4

10.0

Oracle Hospitality Applications

6

3

9.4

Oracle Hyperion

9

1

9.8

Oracle Insurance Applications

6

6

9.8

Oracle Java SE

8

8

5.3

Oracle MySQL

54

4

9.8

Oracle PeopleSoft

15

12

9.8

Oracle Policy Automation

6

6

6.1

Oracle Retail Applications

28

25

9.8

Oracle Siebel CRM

3

3

9.8

Oracle Supply Chain

4

3

9.8

Oracle Systems

10

4

10.0

Oracle Utilities Applications

5

3

9.8

Oracle Virtualization

7

0

8.2

 

三.  漏洞防护

请用户参考本文附录“受影响产品及补丁信息”及时下载受影响产品更新补丁,并参照补丁安装包中的readme文件进行安装更新,以保证长期有效的防护。

注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。

脚注信息
版权所有  天津伟天科技发展有限公司