2020-10 补丁日:Oracle多个产品高危漏洞安全风险通告

报告编号：B6-2020-102101

报告来源：360CERT

报告作者：360CERT

更新日期：2020-10-21

0x01 事件简述

2020年10月21日，360CERT监测发现 Oracle官方 发布了 10月份 的安全更新。

此次安全更新发布了421个漏洞补丁，其中Oracle Fusion Middleware有46个漏洞补丁更新，主要涵盖了Oracle Weblogic、Oracle Endeca Information Discovery Integrator、Oracle WebCenter Portal、Oracle BI Publisher、Oracle Business Intelligence Enterprise Edition等产品。在本次更新的46个漏洞补丁中有36个漏洞无需身份验证即可远程利用。

对此，360CERT建议广大用户及时安装最新补丁，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02 风险等级

360CERT对该事件的评定结果如下

0x03 漏洞详情

Oracle WebLogic Server多个反序列化漏洞

Weblogic本次更新了多个反序列化漏洞，这些漏洞允许未经身份验证的攻击者通过HTTP、IIOP、T3协议发送构造好的恶意请求，从而在Oracle WebLogic Server执行代码。严重漏洞编号如下：

* CVE-2020-14882

* CVE-2020-14841

* CVE-2020-14825

* CVE-2020-14859

* CVE-2020-14820

其中成功利用CVE-2020-14882漏洞的远程攻击者可以构造特殊的HTTP请求，在未经身份验证的情况下接管WebLogic Server，并在WebLogic Server执行任意代码。

Oracle Communications（Oracle通信应用软件）多个严重漏洞

此重要补丁更新包含针对Oracle Communications的52个新的安全补丁。其中的41个漏洞无需身份验证即可远程利用，即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下：

* CVE-2020-10683

* CVE-2020-11973

* CVE-2020-2555

* CVE-2020-11984

Oracle E-Business Suite（Oracle电子商务套件）多个严重漏洞

此重要补丁更新包含针对Oracle E-Business Suite的27个新的安全补丁。其中的25个漏洞无需身份验证即可被远程利用，即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下：

* CVE-2020-14855

* CVE-2020-14805

* CVE-2020-14875

* CVE-2020-14876

Oracle Enterprise Manager（Oracle企业管理软件）多个严重漏洞

此重要补丁更新包含针对Oracle Enterprise Manager的11个新安全补丁。其中的10个漏洞无需身份验证即可远程利用，即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下：

* CVE-2019-13990

* CVE-2018-11058

* CVE-2019-17638

* CVE-2020-5398

* CVE-2020-1967

Oracle Financial Services Applications（Oracle金融服务应用软件）多个严重漏洞

此重要补丁更新包含针对Oracle Financial Services应用程序的53个新的安全补丁。其中的49个漏洞无需身份验证即可远程利用，即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下：

* CVE-2019-17495

* CVE-2019-10173

* CVE-2020-10683

* CVE-2020-9546

* CVE-2020-11973

* CVE-2020-14824

Oracle MySQL

此重要补丁更新包含54个针对Oracle MySQL的新安全补丁。其中的4个漏洞无需身份验证即可远程利用，即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下：

* CVE-2020-8174

Oracle Database Server

此重要补丁更新包含针对Oracle数据库服务器的30个新安全补丁。这些漏洞中的4个无需身份验证即可远程利用，即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下：

* CVE-2020-14735

* CVE-2020-14734

0x04 修复建议

通用修补建议

及时更新补丁，参考oracle官网发布的补丁:

Oracle Critical Patch Update Advisory - October 2020

https://www.oracle.com/security-alerts/cpuoct2020traditional.html

Weblogic 临时修补建议

1. 如果不依赖T3协议进行JVM通信，禁用T3协议：   

* 进入WebLogic控制台，在base_domain配置页面中，进入安全选项卡页面，点击筛选器，配置筛选器。   

* 在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则框中输入7001 deny t3 t3s保存生效。 

 * 重启Weblogic项目，使配置生效。

2. 如果不依赖IIOP协议进行JVM通信，禁用IIOP协议：   

* 进入WebLogic控制台，在base_domain配置页面中，进入安全选项卡页面。   

* 选择“服务”->”AdminServer”->”协议”，取消“启用IIOP”的勾选。   

* 重启Weblogic项目，使配置生效。

0x05 产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

0x06 时间线

2020-10-20  Oracle发布安全更新通告
2020-10-21  360CERT发布通告

0x07 参考链接

1、 Oracle Critical Patch Update Advisory - October 2020

https://www.oracle.com/security-alerts/cpuoct2020traditional.html

0x08 特制报告下载链接

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT正式推出安全通告特制版报告，以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。

2020-10 补丁日:Oracle多个产品高危漏洞安全风险通告

http://pub-shbt.s3.360.cn/cert-public-file/%E3%80%90360CERT%E3%80%912020-10_%E8%A1%A5%E4%B8%81%E6%97%A5_Oracle%E5%A4%9A%E4%B8%AA%E4%BA%A7%E5%93%81%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E5%AE%89%E5%85%A8%E9%A3%8E%E9%99%A9%E9%80%9A%E5%91%8A.pdf

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ，并附上您的 公司名、姓名、手机号、地区、邮箱地址。

推荐阅读：

1、安全事件周报 (10.12-10.18)

2、CVE-2020-24407/24400：Adobe Magento 远程代码执行漏洞通告

3、CVE-2020-16898: Windows TCP/IP远程执行代码漏洞分析

长按下方二维码关注360CERT！谢谢你的关注！

注：360CERT官方网站提供 《2020-10 补丁日:Oracle多个产品高危漏洞安全风险通告》 完整详情，点击阅读原文

本文始发于微信公众号（三六零CERT）：2020-10 补丁日:Oracle多个产品高危漏洞安全风险通告