漏洞背景
2020年10月21日,山石网科安全研究院监测发现Oracle官方发布10月份安全更新。本次更新有多个Oracle融合中间件的远程代码执行漏洞。山石网科安全研究院提醒用户及时安排自检并做好安全加固。
漏洞描述
涉及Oracle Weblogic Server的漏洞如下:
CVE编号 | 产品 | 组件 | 协议 | 影响受支持的版本 |
CVE-2019-17267 | Oracle WebLogic Server | Centralized Thirdparty Jars (jackson-databind) | HTTP | 12.2.1.3.0 |
CVE-2020-14882 | Oracle WebLogic Server | Console | HTTP | 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-14841 | Oracle WebLogic Server | Core | IIOP | 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-14825 | Oracle WebLogic Server | Core | IIOP, T3 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-14859 | Oracle WebLogic Server | Core | IIOP, T3 | 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-14820 | Oracle WebLogic Server | Core | IIOP, T3 | 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-14883 | Oracle WebLogic Server | Console | HTTP | 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-14757 | Oracle WebLogic Server | Web Services | HTTP | 12.2.1.3.0 |
CVE-2020-11022 | Oracle WebLogic Server | Console (jQuery) | HTTP | 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-9488 | Oracle WebLogic Server | Core (Apache Log4j) | SMTPS | 10.3.6.0.0 |
涉及Oracle Enterprise Manager的漏洞如下:
CVE编号 | 产品 | 组件 | 协议 | 影响受支持的版本 |
CVE-2019-13990 | Enterprise Manager Ops Center | Agent Provisioning (Quartz Scheduler) | HTTP | 12.4.0.0 |
CVE-2018-11058 | Oracle Application Testing Suite | Load Testing for Web Apps (RSA BSAFE Crypto-C) | HTTP | 13.3.0.1 |
CVE-2019-17638 | Oracle Application Testing Suite | Load Testing for Web Apps (Eclipse Jetty) | HTTP | 13.3.0.1 |
CVE-2020-5398 | Enterprise Manager Base Platform | Connector Framework (Spring Framework) | HTTP | 13.2.1.0 |
CVE-2020-1967 | Enterprise Manager for Storage Management | Privilege Management (OpenSSL) | HTTPS | 13.3.0.0, 13.4.0.0 |
CVE-2020-5398 | Oracle Application Testing Suite | Load Testing for Web Apps (Spring Framework) | HTTP | 13.3.0.1 |
CVE-2019-3740 | Application Performance Management (APM) | Comp Management and Life Cycle Management (RSA BSAFE Crypto-J) | HTTPS | 13.3.0.0, 13.4.0.0 |
CVE-2019-2897 | Enterprise Manager Base Platform | Event Management | HTTP | 13.3.0.0, 13.4.0.0 |
CVE-2020-11022 | Enterprise Manager Ops Center | Reports in Ops Center (jQuery) | HTTP | 12.4.0.0 |
CVE-2020-1954 | Enterprise Manager Base Platform | Connector Framework (Apache CXF) | HTTP | 13.2.1.0 |
CVE-2020-9488 | Enterprise Manager for Peoplesoft | PSEM Plugin (Apache Log4j) | SMTPS | 13.4.1.1 |
其它漏洞详见参考链接
漏洞危害
……
影响版本
……
解决方案
-
及时更新补丁
参考信息
-
https://www.oracle.com/security-alerts/cpuoct2020traditional.html
山石网科安全技术研究院简称“山石安研院”正式成立于2020年4月,是山石网科的信息安全智库部门,其前身是原安全服务部下的安全研究团队。山石安研院整体架构包括干将、莫邪两大安全实验室,以及安全预警分析、高端攻防培训两支独立的技术团队。安研院主要负责反APT跟踪和研究、出战及承办全球攻防赛事、高端攻防技术培训、全球中英文安全预警分析发布、各类软硬件漏洞挖掘和利用研究、承接国家网络安全相关课题、不定期发布年度或半年度的各类技术报告及公司整体攻防能力展现。技术方向包括移动安全、虚拟化安全、工控安全、物联安全、区块链安全、协议安全、源码安全、反APT及反窃密。
自2015年以来为多省公安厅提供技术支撑工作,为上合峰会、财富论坛、金砖五国等多次重大活动提供网络安保支撑工作。在多次攻防赛事中连获佳绩,网安中国行第一名,连续两届红帽杯冠军、网鼎杯线上第一名,在补天杯、极棒杯、全国多地的护网演习等也都获得优秀的成绩,每年获得大量的CNVD、CNNVD、CVE证书或编号。
如需帮助请咨询 [email protected]
本文始发于微信公众号(山石网科安全技术研究院):漏洞通告 | Oracle补丁日多个产品高危漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论