一.
概述
2020年10月21日,Oracle官方发布了2020年10月关键补丁更新公告CPU(Critical
Patch Update),此次更新修复了402个不同程度的漏洞,其中271个漏洞可被远程未经身份认证的攻击者利用。此次更新涉及Oracle
Database Server、Oracle
Weblogic Server、Oracle
Java SE、Oracle
MySQL等多个产品。各产品受影响情况及可用补丁请见附录。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。
参考链接:
https://www.oracle.com/security-alerts/cpuoct2020.html
二. CPU修复漏洞总结
此次关键补丁更新(CPU)修复的漏洞中CVSS评分为9.8及以上的漏洞有247个,涉及Oracle
Weblogic Server、Oracle
MySQL、Oracle
Systems、Oracle
Fusion Middleware等多个产品。
其中Weblogic
Serve存在多个高危漏洞,WebLogic
IIOP JNDI 注入漏洞(CVE-2020-14841),(CVE-2020-14825)
与(CVE-2020-14859)导致攻击者可以在未授权的情况下通过IIOP/T3协议对存在漏洞的WebLogic组件进行远程攻击,通过禁用IIOP/T3协议进行防护可参考文章的4.2节https://mp.weixin.qq.com/s/ruQdLU4Rn3S62bRt7oz7oQ;(CVE-2019-17267)与(CVE-2020-14882)可导致攻击者能发送HTTP请求攻击WebLogic
Server;此外还有以下WebLogic
Server漏洞需要进行关注:(CVE-2020-14820、CVE-2020-14883、CVE-2020-14757、CVE-2020-11022)。
Oracle官方10月关键补丁更新漏洞总结如下:
产品
漏洞个数
未授权远程利用个数
最高CVSS评分
Oracle Database server
28
3
8.8
Oracle Big Data Graph
5
1
9.8
Oracle REST Data Services
7
2
9.8
Oracle TimesTen In-Memory Database
4
4
9.8
Oracle Communications Applications
9
8
9.8
Oracle Communications
52
41
9.8
Oracle Construction and Engineering
9
7
9.8
Oracle E-Business Suite
27
25
9.8
Oracle Enterprise Manager
11
10
9.8
Oracle Financial Services Applications
52
48
9.8
Oracle Food and Beverage Applications
4
3
6.1
Oracle Fusion Middleware
46
36
9.8
Oracle GraalVM
1
1
5.3
Oracle Health Sciences
4
4
10.0
Oracle Hospitality Applications
6
3
9.4
Oracle Hyperion
9
1
9.8
Oracle Insurance Applications
6
6
9.8
Oracle Java SE
8
8
5.3
Oracle MySQL
54
4
9.8
Oracle PeopleSoft
15
12
9.8
Oracle Policy Automation
6
6
6.1
Oracle Retail Applications
28
25
9.8
Oracle Siebel CRM
3
3
9.8
Oracle Supply Chain
4
3
9.8
Oracle Systems
10
4
10.0
Oracle Utilities Applications
5
3
9.8
Oracle Virtualization
7
0
8.2
三. 漏洞防护
请用户参考本文附录“受影响产品及补丁信息”及时下载受影响产品更新补丁,并参照补丁安装包中的readme文件进行安装更新,以保证长期有效的防护。
注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。
资讯详情
Oracle全系产品2020年10月关键补丁更新通告
版权所有 天津伟天科技发展有限公司