一.
概述
2020年10月21日,Oracle官方發布了2020年10月關鍵補丁更新公告CPU(Critical
Patch Update),此次更新修復了402個不同程度的漏洞,其中271個漏洞可被遠程未經身份認證的攻擊者利用。此次更新涉及Oracle
Database Server、Oracle
Weblogic Server、Oracle
Java SE、Oracle
MySQL等多個產品。各產品受影響情況及可用補丁請見附錄。Oracle強烈建議客戶盡快應用關鍵補丁更新修復程序,對漏洞進行修復。
參考鏈接:
https://www.oracle.com/security-alerts/cpuoct2020.html
二. CPU修復漏洞總結
此次關鍵補丁更新(CPU)修復的漏洞中CVSS評分為9.8及以上的漏洞有247個,涉及Oracle
Weblogic Server、Oracle
MySQL、Oracle
Systems、Oracle
Fusion Middleware等多個產品。
其中Weblogic
Serve存在多個高危漏洞,WebLogic
IIOP JNDI 注入漏洞(CVE-2020-14841),(CVE-2020-14825)
與(CVE-2020-14859)導致攻擊者可以在未授權的情況下通過IIOP/T3協議對存在漏洞的WebLogic組件進行遠程攻擊,通過禁用IIOP/T3協議進行防護可參考文章的4.2節https://mp.weixin.qq.com/s/ruQdLU4Rn3S62bRt7oz7oQ;(CVE-2019-17267)與(CVE-2020-14882)可導致攻擊者能發送HTTP請求攻擊WebLogic
Server;此外還有以下WebLogic
Server漏洞需要進行關注:(CVE-2020-14820、CVE-2020-14883、CVE-2020-14757、CVE-2020-11022)。
Oracle官方10月關鍵補丁更新漏洞總結如下:
產品
漏洞個數
未授權遠程利用個數
最高CVSS評分
Oracle Database server
28
3
8.8
Oracle Big Data Graph
5
1
9.8
Oracle REST Data Services
7
2
9.8
Oracle TimesTen In-Memory Database
4
4
9.8
Oracle Communications Applications
9
8
9.8
Oracle Communications
52
41
9.8
Oracle Construction and Engineering
9
7
9.8
Oracle E-Business Suite
27
25
9.8
Oracle Enterprise Manager
11
10
9.8
Oracle Financial Services Applications
52
48
9.8
Oracle Food and Beverage Applications
4
3
6.1
Oracle Fusion Middleware
46
36
9.8
Oracle GraalVM
1
1
5.3
Oracle Health Sciences
4
4
10.0
Oracle Hospitality Applications
6
3
9.4
Oracle Hyperion
9
1
9.8
Oracle Insurance Applications
6
6
9.8
Oracle Java SE
8
8
5.3
Oracle MySQL
54
4
9.8
Oracle PeopleSoft
15
12
9.8
Oracle Policy Automation
6
6
6.1
Oracle Retail Applications
28
25
9.8
Oracle Siebel CRM
3
3
9.8
Oracle Supply Chain
4
3
9.8
Oracle Systems
10
4
10.0
Oracle Utilities Applications
5
3
9.8
Oracle Virtualization
7
0
8.2
三. 漏洞防護
請用戶參考本文附錄“受影響產品及補丁信息”及時下載受影響產品更新補丁,并參照補丁安裝包中的readme文件進行安裝更新,以保證長期有效的防護。
注:Oracle官方補丁需要用戶持有正版軟件的許可賬號,使用該賬號登陸https://support.oracle.com后,可以下載最新補丁。