GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

Oracle | 10月多个安全缝隙公告

颁布功夫 2020-10-21

0x00 缝隙概述

2020年10月20日，Oracle颁布10月份的安全更新，建复了多个产品中的安全缝隙。这次颁布的缝隙补丁共计402个，重要涉及Oracle Database Server、Oracle Communications、Oracle Fusion Middleware、Oracle Weblogic、Oracle E-Business Suite和Oracle MySQL等产品，其中多个缝隙评级为严沉。

0x01 缝隙详情

Oracle Database Server

这次更新中蕴含Oracle数据库的18个的安全补丁。其中有4个缝隙无需身份验证即可远程利用。部门严沉缝隙如下：

缝隙编号	产品	组件	评分	影响领域
CVE-2020-13935	Workload Manager (Apache Tomcat)	None	7.5	12.2.0.1, 18c, 19c
CVE-2020-14734	Oracle Text	None	8.1	11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c
CVE-2020-14735	Scheduler	Local Logon	8.8	11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c

Oracle Communications及 Oracle Communications Applications

这次更新中蕴含Oracle Communications的52个的安全补丁和9个Oracle Communications Applications安全补丁，其中有41个Oracle Communications缝隙无需身份验证即可远程利用。部门严沉缝隙如下：

缝隙编号	产品	组件	评分	影响领域
CVE-2020-2555	Oracle WebCenter Portal	Database Module (Oracle Coherence)	9.8	12.2.1.3.0， 12.2.1.4.0
CVE-2020-10683	Oracle Communications Unified Inventory Management	Core (dom4j)	9.8	7.3.0，7.4.0
CVE-2020-10878	Oracle Communications Billing and Revenue Management	Core (Perl)	8.6	12.0.0.2.0， 12.0.0.3.0
CVE-2020-11973	Oracle Communications Diameter Signaling Router (DSR)	IDIH (Apache Camel)	9.8	IDIH: 8.0.0-8.2.2
CVE-2020-11984	Oracle Communications Element Manager	Core (Apache HTTP Server)	9.8	8.2.0-8.2.2

Oracle Fusion Middleware

这次更新中蕴含Oracle Fusion Middleware的46个安全补丁。其中有36个缝隙无需身份验证即可远程利用。其中涉及了多个Weblogic反序列化缝隙，这些缝隙允许未经身份验证的攻击者通过HTTP、IIOP、T3和谈发送恶意要求，从而在Oracle WebLogic Server执行代码。部门严沉缝隙如下：

缝隙编号	产品	组件	评分	影响领域
CVE-2020-14820	Oracle WebLogic Server	Core	7.5	10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2020-14825	Oracle WebLogic Server	Core	9.8	12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2020-14841	Oracle WebLogic Server	Core	9.8	10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2020-14859	Oracle WebLogic Server	Core	9.8	10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2020-14882	Oracle WebLogic Server	Console	9.8	10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

Oracle E-Business Suite

这次更新蕴含Oracle E-Business Suite的27个安全补丁。其中的25个缝隙无需身份验证即可远程利用。部门严沉缝隙如下：

缝隙编号	产品	组件	评分	影响领域
CVE-2020-14805	Oracle E-Business Suite Secure Enterprise Search	Search Integration Engine	9.1	12.1.3, 12.2.3 - 12.2.10
CVE-2020-14855	Oracle Universal Work Queue	Work Provider Administration	9.8	12.1.3
CVE-2020-14862	Oracle Universal Work Queue	Internal Operations	8.8	12.2.3 - 12.2.9
CVE-2020-14875	Oracle Marketing	Marketing Administration	9.1	12.1.1 - 12.1.3, 12.2.3 - 12.2.10
CVE-2020-14876	Oracle Trade Management	User Interface	9.1	12.1.1 - 12.1.3, 12.2.3 - 12.2.10

Oracle MySQL

这次更新中蕴含Oracle Mysql的54个的安全补丁。其中有4个缝隙无需身份验证即可远程利用。部门严沉缝隙如下：

缝隙编号	产品	组件	评分	影响领域
CVE-2020-8174	MySQL Cluster	Cluster: JS module (Node.js)	9.8	7.3.30 and prior, 7.4.29 and prior, 7.5.19 and prior, 7.6.15 and prior, 8.0.21 and prior
CVE-2020-13935	MySQL Enterprise Monitor	Monitoring: General (Apache Tomcat)	7.5	8.0.21 and prior
CVE-2020-14878	MySQL Server	Server: Security: LDAP Auth	8.0	8.0.21 and prior

此表，在本次颁布的多个安全缝隙中还蕴含2个评分为10（满分10分）的缝隙，如下：

缝隙编号	产品	组件	评分	影响领域
CVE-2020-1953	Oracle Healthcare Foundation	Self Service Analytics (Apache Commons Configuration)	10.0	7.1.1，7.2.0，7.2.1，7.3.0
CVE-2020-14871	Oracle Solaris	Pluggable authentication module	10.0	10，11

Oracle Healthcare Foundation Self Service Analytics缝隙（CVE-2020-1953）

该缝隙是由于Oracle Healthcare Foundation的自主分析服务（Apache Commons Configuration）使用第三方库来解析YAML文件，若是YAML蕴含特殊语句，则默认情况下它允许事俘化类。攻击者能够通过诱导用户从不受信赖的源加载YAML文件来利用此缝隙。成功利用此缝隙的攻击者可能在主机利用法式的节造领域之表加载并执行代码。

影响领域：

Apache Commons Configuration2.2，2.3，2.4，2.5，2.6

Oracle Healthcare Foundation 7.1.1，7.2.0，7.2.1，7.3.0

参考链接：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1953

Oracle Solaris Pluggable authentication module缝隙(CVE-2020-14871)

该缝隙的细节临时未公开。

影响领域：

Oracle Solaris10，11

参考链接：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14871

0x02 措置建议

建议参考官方颁布的补丁更新信息实时建复或升级至安全版本。

链接地址：

https://www.oracle.com/security-alerts/cpuoct2020.html

下载地址：

https://www.oracle.com/cn/downloads/

其它措施：

若是不依赖T3和谈和IIOP和谈进行JVM通讯，则建议禁用。

0x03 参考链接

https://www.oracle.com/security-alerts/cpuoct2020.html

https://www.oracle.com/security-alerts/

https://us-cert.cisa.gov/ncas/current-activity/2020/10/20/oracle-releases-october-2020-security-bulletin-0

0x04 功夫线

2020-10-20 Oracle颁布安全更新

2020-10-21 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】