鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

Oracle | 10月多个清静误差通告

宣布时间 2020-10-21

0x00 误差概述

2020年10月20日，，，Oracle宣布10月份的清静更新，，，修复了多个产品中的清静误差。。。此次宣布的误差补丁共计402个，，，主要涉及Oracle Database Server、Oracle Communications、Oracle Fusion Middleware、Oracle Weblogic、Oracle E-Business Suite和Oracle MySQL等产品，，，其中多个误差评级为严重。。。

0x01 误差详情

Oracle Database Server

此次更新中包括Oracle数据库的18个的清静补丁。。。其中有4个误差无需身份验证即可远程使用。。。部分严重误差如下：

误差编号	产品	组件	评分	影响规模
CVE-2020-13935	Workload Manager (Apache Tomcat)	None	7.5	12.2.0.1, 18c, 19c
CVE-2020-14734	Oracle Text	None	8.1	11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c
CVE-2020-14735	Scheduler	Local Logon	8.8	11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c

Oracle Communications及 Oracle Communications Applications

此次更新中包括Oracle Communications的52个的清静补丁和9个Oracle Communications Applications清静补丁，，，其中有41个Oracle Communications误差无需身份验证即可远程使用。。。部分严重误差如下：

误差编号	产品	组件	评分	影响规模
CVE-2020-2555	Oracle WebCenter Portal	Database Module (Oracle Coherence)	9.8	12.2.1.3.0，，， 12.2.1.4.0
CVE-2020-10683	Oracle Communications Unified Inventory Management	Core (dom4j)	9.8	7.3.0，，，7.4.0
CVE-2020-10878	Oracle Communications Billing and Revenue Management	Core (Perl)	8.6	12.0.0.2.0，，， 12.0.0.3.0
CVE-2020-11973	Oracle Communications Diameter Signaling Router (DSR)	IDIH (Apache Camel)	9.8	IDIH: 8.0.0-8.2.2
CVE-2020-11984	Oracle Communications Element Manager	Core (Apache HTTP Server)	9.8	8.2.0-8.2.2

Oracle Fusion Middleware

此次更新中包括Oracle Fusion Middleware的46个清静补丁。。。其中有36个误差无需身份验证即可远程使用。。。其中涉及了多个Weblogic反序列化误差，，，这些误差允许未经身份验证的攻击者通过HTTP、IIOP、T3协议发送恶意请求，，，从而在Oracle WebLogic Server执行代码。。。部分严重误差如下：

误差编号	产品	组件	评分	影响规模
CVE-2020-14820	Oracle WebLogic Server	Core	7.5	10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2020-14825	Oracle WebLogic Server	Core	9.8	12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2020-14841	Oracle WebLogic Server	Core	9.8	10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2020-14859	Oracle WebLogic Server	Core	9.8	10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2020-14882	Oracle WebLogic Server	Console	9.8	10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

Oracle E-Business Suite

此次更新包括Oracle E-Business Suite的27个清静补丁。。。其中的25个误差无需身份验证即可远程使用。。。部分严重误差如下：

误差编号	产品	组件	评分	影响规模
CVE-2020-14805	Oracle E-Business Suite Secure Enterprise Search	Search Integration Engine	9.1	12.1.3, 12.2.3 - 12.2.10
CVE-2020-14855	Oracle Universal Work Queue	Work Provider Administration	9.8	12.1.3
CVE-2020-14862	Oracle Universal Work Queue	Internal Operations	8.8	12.2.3 - 12.2.9
CVE-2020-14875	Oracle Marketing	Marketing Administration	9.1	12.1.1 - 12.1.3, 12.2.3 - 12.2.10
CVE-2020-14876	Oracle Trade Management	User Interface	9.1	12.1.1 - 12.1.3, 12.2.3 - 12.2.10

Oracle MySQL

此次更新中包括Oracle Mysql的54个的清静补丁。。。其中有4个误差无需身份验证即可远程使用。。。部分严重误差如下：

误差编号	产品	组件	评分	影响规模
CVE-2020-8174	MySQL Cluster	Cluster: JS module (Node.js)	9.8	7.3.30 and prior, 7.4.29 and prior, 7.5.19 and prior, 7.6.15 and prior, 8.0.21 and prior
CVE-2020-13935	MySQL Enterprise Monitor	Monitoring: General (Apache Tomcat)	7.5	8.0.21 and prior
CVE-2020-14878	MySQL Server	Server: Security: LDAP Auth	8.0	8.0.21 and prior

别的，，，在本次宣布的多个清静误差中还包括2个评分为10（满分10分）的误差，，，如下：

误差编号	产品	组件	评分	影响规模
CVE-2020-1953	Oracle Healthcare Foundation	Self Service Analytics (Apache Commons Configuration)	10.0	7.1.1，，，7.2.0，，，7.2.1，，，7.3.0
CVE-2020-14871	Oracle Solaris	Pluggable authentication module	10.0	10，，，11

Oracle Healthcare Foundation Self Service Analytics误差（CVE-2020-1953）

该误差是由于Oracle Healthcare Foundation的自助剖析效劳（Apache Commons Configuration）使用第三方库来剖析YAML文件，，，若是YAML包括特殊语句，，，则默认情形下它允许实例化类。。。攻击者可以通过诱导用户从不受信任的源加载YAML文件来使用此误差。。。乐成使用此误差的攻击者能够在主机应用程序的控制规模之外加载并执行代码。。。

影响规模：

Apache Commons Configuration2.2，，，2.3，，，2.4，，，2.5，，，2.6

Oracle Healthcare Foundation 7.1.1，，，7.2.0，，，7.2.1，，，7.3.0

参考链接：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1953

Oracle Solaris Pluggable authentication module误差(CVE-2020-14871)

该误差的细节暂时未果真。。。

影响规模：

Oracle Solaris10，，，11

参考链接：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14871

0x02 处置惩罚建议

建议参考官方宣布的补丁更新信息实时修复或升级至清静版本。。。

链接地点：

https://www.oracle.com/security-alerts/cpuoct2020.html

下载地点：

https://www.oracle.com/cn/downloads/

其它步伐：

若是不依赖T3协媾和IIOP协议举行JVM通讯，，，则建议禁用。。。

0x03 参考链接

https://www.oracle.com/security-alerts/cpuoct2020.html

https://www.oracle.com/security-alerts/

https://us-cert.cisa.gov/ncas/current-activity/2020/10/20/oracle-releases-october-2020-security-bulletin-0

0x04 时间线

2020-10-20 Oracle宣布清静更新

2020-10-21 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】