漏洞通告 | Oracle补丁日多个产品高危漏洞

  • A+
所属分类:安全漏洞

漏洞通告 | Oracle补丁日多个产品高危漏洞

漏洞背景

2020年10月21日,山石网科安全研究院监测发现Oracle官方发布10月份安全更新。本次更新有多个Oracle融合中间件的远程代码执行漏洞。山石网科安全研究院提醒用户及时安排自检并做好安全加固。


漏洞描述

涉及Oracle Weblogic Server的漏洞如下:


CVE编号 产品 组件 协议 影响受支持的版本
CVE-2019-17267 Oracle WebLogic Server Centralized Thirdparty Jars  (jackson-databind) HTTP 12.2.1.3.0
CVE-2020-14882 Oracle WebLogic Server Console HTTP 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2020-14841 Oracle WebLogic Server Core IIOP 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2020-14825 Oracle WebLogic Server Core IIOP, T3 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2020-14859 Oracle WebLogic Server Core IIOP, T3 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2020-14820 Oracle WebLogic Server Core IIOP, T3 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2020-14883 Oracle WebLogic Server Console HTTP 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2020-14757 Oracle WebLogic Server Web Services HTTP 12.2.1.3.0
CVE-2020-11022 Oracle WebLogic Server Console (jQuery) HTTP 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2020-9488 Oracle WebLogic Server Core (Apache Log4j) SMTPS 10.3.6.0.0



涉及Oracle Enterprise Manager的漏洞如下:


CVE编号 产品 组件 协议 影响受支持的版本
CVE-2019-13990 Enterprise Manager Ops Center Agent Provisioning (Quartz Scheduler) HTTP 12.4.0.0
CVE-2018-11058 Oracle Application Testing Suite Load Testing for Web Apps (RSA BSAFE  Crypto-C) HTTP 13.3.0.1
CVE-2019-17638 Oracle Application Testing Suite Load Testing for Web Apps (Eclipse Jetty) HTTP 13.3.0.1
CVE-2020-5398 Enterprise Manager Base Platform Connector Framework (Spring Framework) HTTP 13.2.1.0
CVE-2020-1967 Enterprise Manager for Storage Management Privilege Management (OpenSSL) HTTPS 13.3.0.0, 13.4.0.0
CVE-2020-5398 Oracle Application Testing Suite Load Testing for Web Apps (Spring Framework) HTTP 13.3.0.1
CVE-2019-3740 Application Performance Management (APM) Comp Management and Life Cycle Management  (RSA BSAFE Crypto-J) HTTPS 13.3.0.0, 13.4.0.0
CVE-2019-2897 Enterprise Manager Base Platform Event Management HTTP 13.3.0.0, 13.4.0.0
CVE-2020-11022 Enterprise Manager Ops Center Reports in Ops Center (jQuery) HTTP 12.4.0.0
CVE-2020-1954 Enterprise Manager Base Platform Connector Framework (Apache CXF) HTTP 13.2.1.0
CVE-2020-9488 Enterprise Manager for Peoplesoft PSEM Plugin (Apache Log4j) SMTPS 13.4.1.1


其它漏洞详见参考链接


漏洞危害

……

影响版本

……


解决方案

  • 及时更新补丁


参考信息

  • https://www.oracle.com/security-alerts/cpuoct2020traditional.html

山石网科安全技术研究院简称“山石安研院”正式成立于2020年4月,是山石网科的信息安全智库部门,其前身是原安全服务部下的安全研究团队。山石安研院整体架构包括干将、莫邪两大安全实验室,以及安全预警分析、高端攻防培训两支独立的技术团队。安研院主要负责反APT跟踪和研究、出战及承办全球攻防赛事、高端攻防技术培训、全球中英文安全预警分析发布、各类软硬件漏洞挖掘和利用研究、承接国家网络安全相关课题、不定期发布年度或半年度的各类技术报告及公司整体攻防能力展现。技术方向包括移动安全、虚拟化安全、工控安全、物联安全、区块链安全、协议安全、源码安全、反APT及反窃密。


自2015年以来为多省公安厅提供技术支撑工作,为上合峰会、财富论坛、金砖五国等多次重大活动提供网络安保支撑工作。在多次攻防赛事中连获佳绩,网安中国行第一名,连续两届红帽杯冠军、网鼎杯线上第一名,在补天杯、极棒杯、全国多地的护网演习等也都获得优秀的成绩,每年获得大量的CNVD、CNNVD、CVE证书或编号。


如需帮助请咨询 [email protected]


漏洞通告 | Oracle补丁日多个产品高危漏洞


本文始发于微信公众号(山石网科安全技术研究院):漏洞通告 | Oracle补丁日多个产品高危漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: