首頁 > 安全研究 > 安全通報 > 安全通告

Oracle全系產品2019年10月關鍵補丁更新安全通告

發布時間 2019-10-17

漏洞概述


10月15日,Oracle發布了2019年10月的關鍵補丁更新(CPU),作為季度漏洞修復發布的一部分。此更新包含多個Oracle產品中219個補丁中180個CVE的修復程序。涉及Oracle Enterprise manager Products Suite、Oracle Fusion Middleware、Oracle Knowledge、Oracle MySQL等多個產品。


其中Weblogic Serve存在多個高危漏洞


Oracle WebLogic Server| CVE-2019-2887, CVE-2019-2890, CVE-2019-2891


CVE-2019-2887與CVE-2019-2890導致攻擊者可以在未授權的情況下通過T3協議對存在漏洞的WebLogic組件進行遠程攻擊,禁用T3協議操作方式進行防護可參考鏈接https://mp.weixin.qq.com/s/YWTSyEVunQUordwxThrGwA。


CVE-2019-2891可導致攻擊者能發送HTTP請求攻擊WebLogic Server。


此外還有以下WebLogic Server漏洞需要進行關注:CVE-2019-2888,CVE-2019-2889,CVE-2015-9251,CVE-2019-11358,CVE-2019-17091。


本季度的CPU還包含18個CVSS 9+漏洞;利用這些漏洞可能導致未經驗證的訪問或完全接管易受攻擊的資產。


CVE#

Product

BaseScore

CVE-2018-14721

Oracle NoSQL Database

10

CVE-2017-6056

Instantis EnterpriseTrack

9.8

CVE-2019-14379

Primavera Gateway

9.8

CVE-2019-14379

Primavera Unifier

9.8

CVE-2019-3020

Primavera P6 Enterprise Project Portfolio Management

9.3

CVE-2016-4000

Enterprise Manager Base Platform

9.8

CVE-2019-14379

Oracle Banking Platform

9.8

CVE-2019-14379

Oracle Financial Services Analytical Applications Infrastructure

9.8

CVE-2019-2904

Oracle JDeveloper and ADF

9.8

CVE-2016-1000031

Oracle Virtual Directory

9.8

CVE-2017-5645

JD Edwards EnterpriseOne Tools

9.8

CVE-2019-8457

MySQL Workbench

9.8

CVE-2016-0729

PeopleSoft Enterprise PeopleTools

9.8

CVE-2019-3862

PeopleSoft Enterprise PeopleTools

9.1

CVE-2018-19362

MICROS Retail XBRi Loss Prevention

9.8

CVE-2019-14379

Oracle Retail Xstore Point of Service

9.8

CVE-2018-1000007

Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servers

9.8

CVE-2016-6814

Agile Recipe Management for Pharmaceuticals

9.8



這里我們更詳細地描述了一些CVSS 9+評分CVE:


Oracle NoSQL數據庫| CVE-2018-14721


本月最值得注意的補丁之一解決了CVE-2018-14721,這是Oracle NoSQL數據庫中影響19.3.12之前所有版本的漏洞。該漏洞存在于Jackson DATABONE NOSQL組件內。通過HTTP進行網絡訪問的未經身份驗證的攻擊者可以利用此漏洞接管Oracle NoSQL數據庫。此漏洞以前在其他Oracle產品(包括Oracle 2019年1月的CPU)中已得到解決。


Oracle MySQL| CVE-2019-8457


CVE-2019-8457是Oracle MySQL的sqlite組件中的堆越界讀取漏洞,該漏洞可讓未經驗證的攻擊者破壞并接管MySQL Workbench。Oracle MySQL8.0.17及以前版本受到影響。


Oracle Enterprise Manager| CVE-2016-4000


CVE-2016-4000是Oracle Enterprise Manager中的一個漏洞,它允許未經驗證的攻擊者發送惡意HTTP請求以完全接管易受攻擊的主機。該缺陷存在于Oracle企業管理器的Jython組件中,并允許攻擊者使用精心制作的序列化PyType對象執行任意代碼。


Oracle Construction and Engineering| CVE-2017-6056,CVE-2019-14379,CVE-2019-14379和CVE-2019-3020


CVE-2017-6056與Instantis Enterprise有關,其余CVE是Primavera中發現的漏洞。對于這些CVE中的每一個,未經驗證的攻擊者都可以向易受攻擊的組件發送惡意HTTP請求,并完全接管受攻擊的目標或對其執行管理操作。受影響的Primavera產品包括Primavera P6、Primavera Gateway和Primavera Unifier。


Oracle Middleware| CVE-2016-1000031和CVE-2019-2904


CVE-2016-1000031是在ApacheCommons文件上傳庫中發現的遠程代碼執行漏洞,Oracle CPU對它并不陌生。本月,該漏洞在Oracle Fusion中間件的虛擬目錄服務器組件中得到修補。CVE最早是由Tenable Research于2016年發現的,此后在多個Oracle產品中進行了修補。此易受攻擊的漏洞允許攻擊者使用HTTP請求危害Oracle虛擬目錄。


CVE-2019-2904是Oracle JDeveloper的ADF Faces組件和Oracle Fusion中間件的ADF產品中的一個未指定漏洞。該漏洞被描述為“易于利用”,允許未經驗證的遠程攻擊者利用精心編制的http請求危害并接管oracle jdeveloper和adf。


Oracle PeopleSoft| CVE-2016-0729,CVE-2019-3862


CVE-2016-0729是ApacheXerces-C中XML解析器庫中的多個關鍵緩沖區溢出漏洞,最初是在2016年修補的。此漏洞存在于oracle中的集成代理中。它可能允許未經驗證的遠程攻擊者造成拒絕服務。


CVE-2019-3862是LISSH2中的一個越界讀取漏洞,原因是在SHSMSMSGCHANNELL請求包中沒有正確的退出狀態消息解析。該漏洞已于2019年3月修補。該漏洞存在于Oracle PosioSoT的文件處理功能中。


修復建議


目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html。


參考鏈接


https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html

https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html



上一篇 下一篇