【简述】
2020年10月20日Oracle官方发布10月份的安全更新公告,本次更新为Oracle官方例行的季度更新,涉及Oracle大部分的产品。
此次安全更新发布了421个漏洞补丁,其中影响力广泛的OracleFusion中间件共计46个漏洞补丁,主要涵盖了OracleWeblogic、Oracle Endeca Information Discovery Integrator、Oracle WebCenter Portal、Oracle BI Publisher、Oracle Business Intelligence Enterprise Edition等产品。
【漏洞详情】
Oracle Fusion Middleware(Oracle融合中间件)多个严重漏洞
这个重要的补丁更新包含了46个新的Oracle Fusion Middleware安全补丁。其中36个漏洞可以在没有认证的情况下被远程利用,也就是说,可以在不需要用户证书的情况下通过网络被利用。
其中影响力颇广的Weblogic本次漏洞覆盖多个组件的多个版本,这些漏洞允许未经身份验证的攻击者通过HTTP、IIOP、T3协议发送构造好的恶意请求,从而导致信息泄露或者在Oracle WebLogic Server执行代码。严重漏洞编号如下:
CVE-2019-17267
CVE-2020-14882
CVE-2020-14841
CVE-2020-14825
CVE-2020-14859
CVE-2020-14820
Oracle Database Server(Oracle数据库服务器)多个严重漏洞
这次重要的补丁更新包含了18个新的安全补丁以及下面提到的针对Oracle数据库产品的第三方补丁。其中4个漏洞可能在没有身份验证的情况下被远程利用,也就是说,可能在不需要用户凭证的情况下通过网络被利用。这些补丁中的一个仅适用于客户端,即没有安装Oracle数据库服务端的环境。严重漏洞编号如下:
CVE-2019-12900
CVE-2020-14735
CVE-2020-14734
Oracle Communications(Oracle通信应用软件)多个严重漏洞
此重要补丁更新包含针对 OracleCommunications 的52个新的安全补丁。其中的41个漏洞无需身份验证即可远程利用,即可以在不需要用户凭证的情况下通过网络利用这些漏洞。严重漏洞编号如下:
CVE-2020-10683
CVE-2020-11973
CVE-2020-2555
CVE-2020-11984
Oracle Enterprise Manager(Oracle企业管理软件)多个严重漏洞
此重要补丁更新包含针对 OracleEnterprise Manager 的11个新安全补丁。其中的10个漏洞无需身份验证即可远程利用,即可以在不需要用户凭证的情况下通过网络利用这些漏洞。严重漏洞编号如下:
CVE-2019-13990
CVE-2018-11058
CVE-2019-17638
CVE-2020-5398
CVE-2020-1967
Oracle Financial Services Applications(Oracle金融服务应用软件)多个严重漏洞
此重要补丁更新包含针对 OracleFinancial Services 应用程序的53个新的安全补丁。其中的49个漏洞无需身份验证即可远程利用,即可以在不需要用户凭证的情况下通过网络利用这些漏洞。严重漏洞编号如下:
CVE-2019-17495
CVE-2019-10173
CVE-2020-10683
CVE-2020-9546
CVE-2020-11973
CVE-2020-14824
Oracle MySQL
此重要补丁更新包含53个针对 Oracle MySQL 的新安全补丁以及第三方附加的1个补丁。其中的4个漏洞无需身份验证即可远程利用,即可以在不需要用户凭证的情况下通过网络利用这些漏洞。严重漏洞编号如下:
CVE-2020-8174
CVE-2020-14878
【修复建议】
毒霸安全专家建议用户及时更新安装补丁。
2020年10月20日Oracle官方发布10月份的安全更新公告,本次更新为Oracle官方例行的季度更新,涉及Oracle大部分的产品。
此次安全更新发布了421个漏洞补丁,其中影响力广泛的OracleFusion中间件共计46个漏洞补丁,主要涵盖了OracleWeblogic、Oracle Endeca Information Discovery Integrator、Oracle WebCenter Portal、Oracle BI Publisher、Oracle Business Intelligence Enterprise Edition等产品。
【漏洞详情】
Oracle Fusion Middleware(Oracle融合中间件)多个严重漏洞
这个重要的补丁更新包含了46个新的Oracle Fusion Middleware安全补丁。其中36个漏洞可以在没有认证的情况下被远程利用,也就是说,可以在不需要用户证书的情况下通过网络被利用。
其中影响力颇广的Weblogic本次漏洞覆盖多个组件的多个版本,这些漏洞允许未经身份验证的攻击者通过HTTP、IIOP、T3协议发送构造好的恶意请求,从而导致信息泄露或者在Oracle WebLogic Server执行代码。严重漏洞编号如下:
CVE-2019-17267
CVE-2020-14882
CVE-2020-14841
CVE-2020-14825
CVE-2020-14859
CVE-2020-14820
Oracle Database Server(Oracle数据库服务器)多个严重漏洞
这次重要的补丁更新包含了18个新的安全补丁以及下面提到的针对Oracle数据库产品的第三方补丁。其中4个漏洞可能在没有身份验证的情况下被远程利用,也就是说,可能在不需要用户凭证的情况下通过网络被利用。这些补丁中的一个仅适用于客户端,即没有安装Oracle数据库服务端的环境。严重漏洞编号如下:
CVE-2019-12900
CVE-2020-14735
CVE-2020-14734
Oracle Communications(Oracle通信应用软件)多个严重漏洞
此重要补丁更新包含针对 OracleCommunications 的52个新的安全补丁。其中的41个漏洞无需身份验证即可远程利用,即可以在不需要用户凭证的情况下通过网络利用这些漏洞。严重漏洞编号如下:
CVE-2020-10683
CVE-2020-11973
CVE-2020-2555
CVE-2020-11984
Oracle Enterprise Manager(Oracle企业管理软件)多个严重漏洞
此重要补丁更新包含针对 OracleEnterprise Manager 的11个新安全补丁。其中的10个漏洞无需身份验证即可远程利用,即可以在不需要用户凭证的情况下通过网络利用这些漏洞。严重漏洞编号如下:
CVE-2019-13990
CVE-2018-11058
CVE-2019-17638
CVE-2020-5398
CVE-2020-1967
Oracle Financial Services Applications(Oracle金融服务应用软件)多个严重漏洞
此重要补丁更新包含针对 OracleFinancial Services 应用程序的53个新的安全补丁。其中的49个漏洞无需身份验证即可远程利用,即可以在不需要用户凭证的情况下通过网络利用这些漏洞。严重漏洞编号如下:
CVE-2019-17495
CVE-2019-10173
CVE-2020-10683
CVE-2020-9546
CVE-2020-11973
CVE-2020-14824
Oracle MySQL
此重要补丁更新包含53个针对 Oracle MySQL 的新安全补丁以及第三方附加的1个补丁。其中的4个漏洞无需身份验证即可远程利用,即可以在不需要用户凭证的情况下通过网络利用这些漏洞。严重漏洞编号如下:
CVE-2020-8174
CVE-2020-14878
【修复建议】
毒霸安全专家建议用户及时更新安装补丁。
