2022-10 补丁日: Oracle多个产品漏洞安全风险通告

2022年10月20日，360CERT监测发现Oracle发布了2022年7月份的风险通告，漏洞等级：严重，漏洞评分：10.0。

此次安全更新发布了370个漏洞补丁，其中Oracle Communications有74个漏洞补丁更新，其中有64个漏洞无需身份验证即可远程利用。主要涵盖了Oracle Communications Cloud Native Core Security Edge Protection Proxy、Oracle Communications Cloud Native Core Unified Data Repository、Oracle Communications Diameter Signaling Router、Oracle Communications Element Manager、Oracle Communications Policy Management、Oracle Communications User Data Repository等产品。

对此，360CERT建议广大用户做好资产自查以及预防工作，以免遭受黑客攻击。

360CERT对该漏洞的评定结果如下

Oracle Communications 多个严重漏洞

此重要补丁更新包含针对Oracle Communications 的74个新的安全补丁。其中的64个漏洞无需身份验证即可远程利用，即可以通过网络利用而无需用户凭据。严重漏洞编号如下：

- CVE-2022-22978: 未经身份验证的攻击者通过HTTP协议发送恶意请求，最终接管Oracle Communications Cloud Native Core Security Edge Protection Proxy，评分10.0。

- CVE-2022-1292: 未经身份验证的攻击者通过HTTPS协议发送恶意请求，最终接管Oracle Communications Cloud Native Core Security Edge Protection Proxy，评分9.8。

- CVE-2022-23218: 未经身份验证的攻击者通过HTTP协议发送恶意请求，最终接管Oracle Communications Cloud Native Core Unified Data Repository，评分9.8。

- CVE-2022-31813: 未经身份验证的攻击者通过HTTP协议发送恶意请求，最终接管Oracle Communications Diameter Signaling Router，评分9.8。

Oracle Retail Applications 多个严重漏洞

此重要补丁更新包含针对 Oracle Retail Applications 的27个新的安全补丁。其中的21个漏洞无需身份验证即可远程利用，即可以通过网络利用而无需用户凭据。严重漏洞编号如下：

- CVE-2022-23305: 未经身份验证的攻击者通过HTTP协议发送恶意请求，最终接管Oracle Retail Fiscal Management，评分9.8。

- CVE-2021-28490: 未经身份验证的攻击者通过HTTPS协议发送恶意请求，最终接管Oracle Retail Customer Management and Segmentation Foundation，评分8.8。

- CVE-2021-43859: 未经身份验证的攻击者通过HTTP协议发送恶意请求，最终接管Oracle Retail Customer Insights，评分7.5。

- CVE-2022-25647: 未经身份验证的攻击者通过HTTP协议发送恶意请求，最终接管Oracle Retail Customer Management and Segmentation Foundation，评分7.5。

Oracle Supply Chain 多个严重漏洞

此重要补丁更新包含针对 Oracle Supply Chain 的13个新的安全补丁。其中的9个漏洞无需身份验证即可远程利用，即可以通过网络利用而无需用户凭据。严重漏洞编号如下：

- CVE-2022-23305: 未经身份验证的攻击者通过HTTP协议发送恶意请求，最终接管Oracle Agile Engineering Data Management，评分9.8。涉及Apache Log4j。

- CVE-2022-29885: 未经身份验证的攻击者通过HTTPS协议发送恶意请求，最终接管Oracle Agile PLM，评分7.5。

- CVE-2022-24729: 未经身份验证的攻击者通过HTTP协议发送恶意请求，最终接管Oracle Agile PLM，评分7.5。

通用修补建议

及时更新补丁，参考oracle官网发布的补丁:

https://www.oracle.com/security-alerts/cpuoct2022.html

若想了解更多产品信息或有相关业务需求，可移步至http://360.net。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

2022-10-18 Oracle官方发布通告

2022-10-20 360CERT发布通告

1.https://www.oracle.com/security-alerts/cpuoct2022.html

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT推出了安全通告特制版报告订阅服务，以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。