绿盟

绿盟科技

  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

【安全通告】Oracle全系产品2020年10月关键补丁更新通告

2020-10-21

一.  概述

2020年10月21日,绿盟科技监测到Oracle官方发布了2020年10月关键补丁更新公告CPU(Critical Patch Update),此次更新修复了402个不同程度的漏洞,其中271个漏洞可被远程未经身份认证的攻击者利用。此次更新涉及Oracle Database Server、Oracle Weblogic Server、Oracle Java SE、Oracle MySQL等多个产品。各产品受影响情况及可用补丁请见附录。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。

参考链接:

https://www.oracle.com/security-alerts/cpuoct2020.html

二.  CPU修复漏洞总结

此次关键补丁更新(CPU)修复的漏洞中CVSS评分为9.8及以上的漏洞有247个,涉及Oracle Weblogic Server、Oracle MySQL、Oracle Systems、Oracle Fusion Middleware等多个产品。

其中Weblogic Serve存在多个高危漏洞,WebLogic IIOP JNDI 注入漏洞(CVE-2020-14841),(CVE-2020-14825) 与(CVE-2020-14859)导致攻击者可以在未授权的情况下通过IIOP/T3协议对存在漏洞的WebLogic组件进行远程攻击,通过禁用IIOP/T3协议进行防护可参考文章的4.2节https://mp.weixin.qq.com/s/ruQdLU4Rn3S62bRt7oz7oQ;(CVE-2019-17267)与(CVE-2020-14882)可导致攻击者能发送HTTP请求攻击WebLogic Server;此外还有以下WebLogic Server漏洞需要进行关注:(CVE-2020-14820、CVE-2020-14883、CVE-2020-14757、CVE-2020-11022)。

Oracle官方10月关键补丁更新漏洞总结如下:

产品

漏洞个数

未授权远程利用个数

最高CVSS评分

Oracle Database server

28

3

8.8

Oracle Big Data Graph

5

1

9.8

Oracle REST Data Services

7

2

9.8

Oracle TimesTen In-Memory Database

4

4

9.8

Oracle Communications Applications

9

8

9.8

Oracle Communications

52

41

9.8

Oracle Construction and Engineering

9

7

9.8

Oracle E-Business Suite

27

25

9.8

Oracle Enterprise Manager

11

10

9.8

Oracle Financial Services Applications

52

48

9.8

Oracle Food and Beverage Applications

4

3

6.1

Oracle Fusion Middleware

46

36

9.8

Oracle GraalVM

1

1

5.3

Oracle Health Sciences

4

4

10.0

Oracle Hospitality Applications

6

3

9.4

Oracle Hyperion

9

1

9.8

Oracle Insurance Applications

6

6

9.8

Oracle Java SE

8

8

5.3

Oracle MySQL

54

4

9.8

Oracle PeopleSoft

15

12

9.8

Oracle Policy Automation

6

6

6.1

Oracle Retail Applications

28

25

9.8

Oracle Siebel CRM

3

3

9.8

Oracle Supply Chain

4

3

9.8

Oracle Systems

10

4

10.0

Oracle Utilities Applications

5

3

9.8

Oracle Virtualization

7

0

8.2

 

三.  漏洞防护

请用户参考本文附录“受影响产品及补丁信息”及时下载受影响产品更新补丁,并参照补丁安装包中的readme文件进行安装更新,以保证长期有效的防护。

注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。

<<上一篇

【安全通告】微软发布10月补丁修复87个安全问题

>>下一篇

【漏洞通告】Weblogic多个远程代码执行漏洞通告

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入绿盟科技,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
绿盟科技社区
绿盟科技社区
资料下载|在线问答|技术交流
微博
微博

微博

微信
微信

微信

B站
B站

B站

抖音
抖音

抖音

视频号
视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS 绿盟科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号