Oracle 十月补丁更新修复 402 个漏洞

Andrew 2020-10-22
专栏 - 资讯 发布于 2020-10-22 10:27:12 阅读 83 评论 0

Oracle在十月大规模补丁更新中杀死了402个错误

Oracle季度补丁更新中超过一半的漏洞无需身份验证就可以被远程利用;其中两个漏洞的CVSS得分为10分(满分10分)。

商业软件巨头Oracle敦促客户在10月发布的季度关键补丁更新(CPU)中更新其系统,该补丁修复了各个产品系列中的402个漏洞。

这些漏洞中有超过一半(272)将产品开放给未经身份验证的远程利用。这意味着可以通过网络利用此漏洞,而无需用户凭据。

大多数漏洞存在于Oracle Financial Services Applications(53)、Oracle MySQL(53)、Oracle Communications(52)、Oracle Fusion Middleware(46)、Oracle Retail Applications(28)和Oracle E-Business Suite(27)中。但是,总体而言,有27个Oracle产品系列受到这些漏洞的影响。用户可以在此处找到每种产品的补丁程序可用性文档。

Oracle周二发布的消息称:“Oracle将继续定期收到有关恶意利用漏洞的报告,而Oracle已经针对这些漏洞发布了安全补丁 。” “在某些情况下,据报道,攻击者成功了,因为目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户继续使用受积极支持的版本,并立即应用关键补丁更新安全补丁。”

尽管漏洞本身的细节很少,但Oracle披露的两个关键漏洞在CVSS级别上的最高严重性得分为10(满分10)。

其中包括Oracle Healthcare Foundation的自助服务分析组件中的一个漏洞,该组件是Oracle Health Science应用程序套件的一部分,是一个统一的医疗保健分析平台。据Oracle称,该漏洞(CVE-2020-1953)可以在无需任何用户凭据的情况下进行远程利用,不需要用户交互并且易于利用。受影响的受支持版本包括7.1.1、7.2.0、7.2.1和7.3.0。

第二个严重漏洞(CVE-2020-14871)存在于Oracle Solaris的可插入身份验证模块中,该模块用于Oracle数据库和Java应用程序的企业操作系统(Oracle系统风险矩阵的一部分)。该漏洞也可以在没有用户凭据的情况下进行远程利用,不需要用户交互,是一种“低复杂性”攻击。版本10和11会受到影响。

在10个漏洞中,有65个漏洞的CVSS基本得分为9.8(其中6个得分为9.4),十分严重。

Oracle确实提供了一些变通方法,建议对于需要某些特权或访问某些程序包的攻击,删除特权或从不需要特权的用户那里访问程序包的能力可以帮助降低成功攻击的风险。用户还可以通过阻止攻击所需的网络协议来降低成功攻击的风险。

但是,这两种方法都可能破坏应用程序功能,并且Oracle不建议将这两种方法都视为长期解决方案,因为这两种方法都不能解决根本问题。

该公司表示:“由于成功攻击带来的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。”

Oracle在最接近1月,4月,7月和10月17日的星期二发布其CPU。

先前的季度更新已消除了该公司产品线中的数百个错误,其中包括4月份修补405个错误。例如,在6月,Oracle警告说其WebLogic Server中存在严重的远程执行代码漏洞,正在地对其进行利用。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!