首页 > 安全钻研 > 安全传递 > 安全公告

Oracle全系产品2019年10月关键补丁更新安全公告

颁布功夫 2019-10-17

缝隙概述

10月15日，Oracle颁布了2019年10月的关键补丁更新（CPU），作为季度缝隙建复颁布的一部门。此更新蕴含多个Oracle产品中219个补丁中180个CVE的建复法式。涉及Oracle Enterprise manager Products Suite、Oracle Fusion Middleware、Oracle Knowledge、Oracle MySQL等多个产品。

其中Weblogic Serve存在多个高危缝隙

Oracle WebLogic Server| CVE-2019-2887, CVE-2019-2890, CVE-2019-2891

CVE-2019-2887与CVE-2019-2890导致攻击者能够在未授权的情况下通过T3和谈对存在缝隙的WebLogic组件进行远程攻击，禁用T3和谈操作方式进行防护可参考链接https://mp.weixin.qq.com/s/YWTSyEVunQUordwxThrGwA。

CVE-2019-2891可导致攻击者能发送HTTP要求攻击WebLogic Server。

此表还有以下WebLogic Server缝隙必要进行关注：CVE-2019-2888，CVE-2019-2889，CVE-2015-9251，CVE-2019-11358，CVE-2019-17091。

本季度的CPU还蕴含18个CVSS 9+缝隙；利用这些缝隙可能导致未经验证的接见或齐全收受易受攻击的资产。

CVE#	Product	BaseScore
CVE-2018-14721	Oracle NoSQL Database	10
CVE-2017-6056	Instantis EnterpriseTrack	9.8
CVE-2019-14379	Primavera Gateway	9.8
CVE-2019-14379	Primavera Unifier	9.8
CVE-2019-3020	Primavera P6 Enterprise Project Portfolio Management	9.3
CVE-2016-4000	Enterprise Manager Base Platform	9.8
CVE-2019-14379	Oracle Banking Platform	9.8
CVE-2019-14379	Oracle Financial Services Analytical Applications Infrastructure	9.8
CVE-2019-2904	Oracle JDeveloper and ADF	9.8
CVE-2016-1000031	Oracle Virtual Directory	9.8
CVE-2017-5645	JD Edwards EnterpriseOne Tools	9.8
CVE-2019-8457	MySQL Workbench	9.8
CVE-2016-0729	PeopleSoft Enterprise PeopleTools	9.8
CVE-2019-3862	PeopleSoft Enterprise PeopleTools	9.1
CVE-2018-19362	MICROS Retail XBRi Loss Prevention	9.8
CVE-2019-14379	Oracle Retail Xstore Point of Service	9.8
CVE-2018-1000007	Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servers	9.8
CVE-2016-6814	Agile Recipe Management for Pharmaceuticals	9.8

这里我们更具体地描述了一些CVSS 9+评分CVE：

Oracle NoSQL数据库| CVE-2018-14721

本月最值妥贴心的补丁之一解决了CVE-2018-14721，这是Oracle NoSQL数据库中影响19.3.12之前所有版本的缝隙。该缝隙存在于Jackson DATABONE NOSQL组件内。通过HTTP进行网络接见的未经身份验证的攻击者能够利用此缝隙收受Oracle NoSQL数据库。此缝隙以前在其他Oracle产品（蕴含Oracle 2019年1月的CPU）中已得到解决。

Oracle MySQL| CVE-2019-8457

CVE-2019-8457是Oracle MySQL的sqlite组件中的堆越界读取缝隙，该缝隙可让未经验证的攻击者粉碎并收受MySQL Workbench。Oracle MySQL8.0.17及以前版本受到影响。

Oracle Enterprise Manager| CVE-2016-4000

CVE-2016-4000是Oracle Enterprise Manager中的一个缝隙，它允许未经验证的攻击者发送恶意HTTP要求以齐全收受易受攻击的主机。该缺点存在于Oracle企业治理器的Jython组件中，并允许攻击者使用精心造作的序列化PyType对象执行肆意代码。

Oracle Construction and Engineering| CVE-2017-6056,CVE-2019-14379,CVE-2019-14379和CVE-2019-3020

CVE-2017-6056与Instantis Enterprise有关，其余CVE是Primavera中发现的缝隙。对于这些CVE中的每一个，未经验证的攻击者都能够向易受攻击的组件发送恶意HTTP要求，并齐全收受受攻击的指标或对其执行治理操作。受影响的Primavera产品蕴含Primavera P6、Primavera Gateway和Primavera Unifier。

Oracle Middleware| CVE-2016-1000031和CVE-2019-2904

CVE-2016-1000031是在ApacheCommons文件上传库中发现的远程代码执行缝隙，Oracle CPU对它并不陌生。本月，该缝隙在Oracle Fusion中央件的虚构目录服务器组件中得到建补。CVE最早是由Tenable Research于2016年发现的，尔后在多个Oracle产品中进行了建补。此易受攻击的缝隙允许攻击者使用HTTP要求风险Oracle虚构目录。

CVE-2019-2904是Oracle JDeveloper的ADF Faces组件和Oracle Fusion中央件的ADF产品中的一个未指定缝隙。该缝隙被描述为“易于利用”，允许未经验证的远程攻击者利用精心假造的http要求风险并收受oracle jdeveloper和adf。

Oracle PeopleSoft| CVE-2016-0729,CVE-2019-3862

CVE-2016-0729是ApacheXerces-C中XML解析器库中的多个关键缓冲区溢露马脚，最初是在2016年建补的。此缝隙存在于oracle中的集成代理中。它可能允许未经验证的远程攻击者造成回绝服务。

CVE-2019-3862是LISSH2中的一个越界读取缝隙，原因是在SHSMSMSGCHANNELL要求包中没有正确的退出状态新闻解析。该缝隙已于2019年3月建补。该缝隙存在于Oracle PosioSoT的文件处置职能中。

建复建议

目前厂商已颁布升级补丁以建复缝隙，补丁获取链接：https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html。

参考链接

https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html

https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Oracle全系产品2019年10月关键补丁更新安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线