Oracle在2024年1月发布了389 个新安全补丁

Oracle 发布了 2024 年 1 月的重要补丁更新公告，旨在修复各种产品的漏洞。本次更新引入了389 个新的安全补丁，其中包括许多关键漏洞的补丁。

CISA 已发布警报，强调威胁行为者可能利用特定漏洞来控制受影响的系统。该机构强调迫切需要审查 Oracle 的 2024 年 1 月重要补丁更新并实施建议的安全措施以防止任何利用企图。

Oracle 2024 年 1 月重要补丁更新中有哪些高危漏洞？

Oracle 2024 年 1 月重要补丁更新中的许多漏洞已被分类为 CVSS 评分超过 9.0，表示严重程度非常严重。其中许多漏洞很容易被远程利用，而无需进行身份验证。

以下是按类型分组的高风险漏洞列表，包括受影响的 Oracle 产品及其在 2024 年 1 月重要补丁更新中解决的受支持版本。

CVE-2021-42575 (CVSS: 9.8)： OWASP Java HTML Sanitizer 中的 SELECT、STYLE 和 OPTION 元素策略缺乏正确执行。

受影响的产品及版本：

• Oracle Hyperion 规划 – 11.2.14.0.000

CVE-2021-43527（CVSS：9.8）：处理 DER 编码的 DSA 或 RSA-PSS 签名期间 NSS（网络安全服务）中存在堆溢出漏洞。

受影响的产品及版本：

• Fujitsu M10-1、M10-4、M10-4S、M12-1、M12-2、M12-2S 服务器 – XCP2430 之前、XCP3130 之前、XCP4040 之前

CVE-2021-46848（CVSS：9.8）： GNU Libtasn1 中存在一个相差一的数组大小检查缺陷。

受影响的产品及版本：

• Oracle 通信云本机核心网络存储库功能 – 23.3.1

CVE-2022-23221（CVSS：9.8）：允许在 H2 控制台中远程执行代码 (RCE) 的漏洞。

受影响的产品及版本：

• Oracle SOA 套件 – 12.2.1.4.0

CVE-2022-29155 (CVSS: 9.8)： OpenLDAP 中的 SQL 注入漏洞，由于缺乏正确的转义，可在 LDAP 搜索操作期间利用。

受影响的产品及版本：

• Fujitsu M10-1、M10-4、M10-4S、M12-1、M12-2、M12-2S 服务器 – XCP2420 之前、XCP3120 之前、XCP4030 之前

CVE-2022-31692（CVSS：9.8）：授权规则绕过 Spring Security 中的漏洞。

受影响的产品及版本：

• Oracle 银行虚拟账户管理 – 14.5.0-14.7.0

CVE-2022-36944（CVSS：9.8）： Scala 中的 Java 反序列化链，只能与应用程序中的 Java 对象反序列化结合使用。

受影响的产品及版本： 

• Oracle Communications BRM – 弹性充电引擎 – 12.0.0.4-12.0.0.7

• Oracle 通信服务目录和设计 – 7.4.2.8.0

• Oracle 银行企业贷款流程管理 – 14.5.0-14.7.0

CVE-2022-37434（CVSS：9.8）： zlib 中基于堆的缓冲区过度读取或溢出。

受影响的产品及版本： 

•  Oracle Hyperion 财务管理 – 11.2.14.0.000

• JD Edwards EnterpriseOne 工具 – 9.2.8.0 之前的版本

CVE-2022-42920（CVSS：9.8）： Apache Commons BCEL API 中的越界写入问题允许操纵类特征，生成任意字节码。

受影响的产品及版本： 

• Oracle 通信服务目录和设计 – 7.4.0.7.0、7.4.1.5.0、7.4.2.8.0

• Oracle 金融服务行为检测平台 – 8.0.8.1、8.1.1.1、8.1.2.5、8.1.2.6

• Oracle 零售高级库存计划 – 15.0.3、16.0.3

CVE-2022-48174（CVSS：9.8）： busybox 中的 ash.c:6030 中存在堆栈溢出漏洞，可在车联网环境中利用，允许通过命令执行任意代码。

受影响的产品及版本：

• Oracle 通信云原生核心网络功能云原生环境 – 23.3.1

CVE-2023-32002（CVSS：9.8）： Node.js 中的漏洞允许使用 Module._load() 绕过策略机制。

受影响的产品及版本：

•  JD Edwards EnterpriseOne 工具 – 9.2.8.1 之前的版本

CVE-2023-34034（CVSS：9.8）： Spring Security 中的安全绕过漏洞，在 WebFlux 的 Spring Security 配置中使用“**”作为模式时发生。 

受影响的产品及版本：

• Oracle 通信服务目录和设计 – 7.4.2.8.0

• Oracle 通信云原生核心网络切片选择功能 – 23.2.0、23.3.1

• Oracle 银行企业贷款流程管理 – 14.5.0-14.7.0

• Oracle 银行数字体验 – 21.1.0、22.1.0、22.2.0

• Oracle 银行流动性管理 – 14.5.0-14.7.0

• Oracle 金融服务分析应用基础设施 – 8.0.7、8.0.8、8.0.9、8.1.0、8.1.1、8.1.2

CVE-2023-38545（CVSS：9.8）：在缓慢的 SOCKS5 代理握手期间，curl 中存在基于堆的缓冲区溢出漏洞。

受影响的产品及版本： 

• Oracle Essbase – 21.5.3.0.0

• Oracle HTTP 服务器 – 12.2.1.4.0

• MySQL 集群 – 8.0.34 及更早版本、8.1.0 

CVE-2023-46604 (CVSS: 9.8)： Java OpenWire 协议编组器中的远程代码执行漏洞。

受影响的产品及版本：

• Oracle 通信元素管理器 – 9.0.0.0.0-9.0.2.0.1

• Oracle 通信会话报告管理器 – 9.0.0.0.0-9.0.2.0.1

• Oracle 银行 API – 22.1.0、22.2.0

• Oracle 银行数字体验 – 22.1.0、22.2.0

• Oracle 金融服务分析应用基础设施 – 8.0.7、8.0.8、8.0.9、8.1.0、8.1.1、8.1.2

• Oracle 企业数据质量 – 12.2.1.4.0

CVE-2023-50164（CVSS：9.8）： Apache Struts 中的路径遍历漏洞，允许攻击者操纵文件上传参数，导致潜在的恶意文件上传并启用远程代码执行。

受影响的产品及版本： 

• Oracle 通信策略管理 – 12.6.1.0.0、15.0.0.0.0

• Oracle Hyperion 基础设施技术 – 11.2.14.0.000

• MySQL Enterprise Monitor – 8.0.36 及更早版本

CVE-2023-44981（CVSS：9.1）：该漏洞允许通过 Apache ZooKeeper 中用户控制的密钥绕过授权。

受影响的产品及版本：

• Oracle 通信云原生核心网络数据分析功能 – 23.3.0、23.4.0

• Oracle 通信服务目录和设计 – 7.4.2.8.0 

保护您的数字环境：应用 Oracle 2024 年 1 月的重要补丁更新

强烈建议您遵守 Oracle 公告并尽快应用 2024 年 1 月重要补丁更新中包含的安全补丁，同时确保您的系统正在运行受积极支持的 Oracle 产品。Oracle 表示，他们会定期收到针对已修复漏洞的利用尝试的报告。该供应商进一步警告说，据报告，攻击者因客户未能应用可用的 Oracle 补丁而成功。

有关每个漏洞、受影响的产品和补丁可用性文档的详细信息，请参阅 Oracle 2024 年 1 月重要补丁更新公告。

原文始发于微信公众号（河南等级保护测评）：Oracle在2024年1月发布了389 个新安全补丁