Oracle全系产品2019年10月关键补丁更新安全通告
发布时间 2019-10-17漏洞概述
10月15日,Oracle发布了2019年10月的关键补丁更新(CPU),作为季度漏洞修复发布的一部分。此更新包含多个Oracle产品中219个补丁中180个CVE的修复程序。涉及Oracle Enterprise manager Products Suite、Oracle Fusion Middleware、Oracle Knowledge、Oracle MySQL等多个产品。
其中Weblogic Serve存在多个高危漏洞
Oracle WebLogic Server| CVE-2019-2887, CVE-2019-2890, CVE-2019-2891
CVE-2019-2887与CVE-2019-2890导致攻击者可以在未授权的情况下通过T3协议对存在漏洞的WebLogic组件进行远程攻击,禁用T3协议操作方式进行防护可参考链接https://mp.weixin.qq.com/s/YWTSyEVunQUordwxThrGwA。
CVE-2019-2891可导致攻击者能发送HTTP请求攻击WebLogic Server。
此外还有以下WebLogic Server漏洞需要进行关注:CVE-2019-2888,CVE-2019-2889,CVE-2015-9251,CVE-2019-11358,CVE-2019-17091。
本季度的CPU还包含18个CVSS 9+漏洞;利用这些漏洞可能导致未经验证的访问或完全接管易受攻击的资产。
|
CVE# |
Product |
BaseScore |
|
CVE-2018-14721 |
Oracle NoSQL Database |
10 |
|
CVE-2017-6056 |
Instantis EnterpriseTrack |
9.8 |
|
CVE-2019-14379 |
Primavera Gateway |
9.8 |
|
CVE-2019-14379 |
Primavera Unifier |
9.8 |
|
CVE-2019-3020 |
Primavera P6 Enterprise Project Portfolio Management |
9.3 |
|
CVE-2016-4000 |
Enterprise Manager Base Platform |
9.8 |
|
CVE-2019-14379 |
Oracle Banking Platform |
9.8 |
|
CVE-2019-14379 |
Oracle Financial Services Analytical Applications Infrastructure |
9.8 |
|
CVE-2019-2904 |
Oracle JDeveloper and ADF |
9.8 |
|
CVE-2016-1000031 |
Oracle Virtual Directory |
9.8 |
|
CVE-2017-5645 |
JD Edwards EnterpriseOne Tools |
9.8 |
|
CVE-2019-8457 |
MySQL Workbench |
9.8 |
|
CVE-2016-0729 |
PeopleSoft Enterprise PeopleTools |
9.8 |
|
CVE-2019-3862 |
PeopleSoft Enterprise PeopleTools |
9.1 |
|
CVE-2018-19362 |
MICROS Retail XBRi Loss Prevention |
9.8 |
|
CVE-2019-14379 |
Oracle Retail Xstore Point of Service |
9.8 |
|
CVE-2018-1000007 |
Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servers |
9.8 |
|
CVE-2016-6814 |
Agile Recipe Management for Pharmaceuticals |
9.8 |
这里我们更详细地描述了一些CVSS 9+评分CVE:
Oracle NoSQL数据库| CVE-2018-14721
本月最值得注意的补丁之一解决了CVE-2018-14721,这是Oracle NoSQL数据库中影响19.3.12之前所有版本的漏洞。该漏洞存在于Jackson DATABONE NOSQL组件内。通过HTTP进行网络访问的未经身份验证的攻击者可以利用此漏洞接管Oracle NoSQL数据库。此漏洞以前在其他Oracle产品(包括Oracle 2019年1月的CPU)中已得到解决。
Oracle MySQL| CVE-2019-8457
CVE-2019-8457是Oracle MySQL的sqlite组件中的堆越界读取漏洞,该漏洞可让未经验证的攻击者破坏并接管MySQL Workbench。Oracle MySQL8.0.17及以前版本受到影响。
Oracle Enterprise Manager| CVE-2016-4000
CVE-2016-4000是Oracle Enterprise Manager中的一个漏洞,它允许未经验证的攻击者发送恶意HTTP请求以完全接管易受攻击的主机。该缺陷存在于Oracle企业管理器的Jython组件中,并允许攻击者使用精心制作的序列化PyType对象执行任意代码。
Oracle Construction and Engineering| CVE-2017-6056,CVE-2019-14379,CVE-2019-14379和CVE-2019-3020
CVE-2017-6056与Instantis Enterprise有关,其余CVE是Primavera中发现的漏洞。对于这些CVE中的每一个,未经验证的攻击者都可以向易受攻击的组件发送恶意HTTP请求,并完全接管受攻击的目标或对其执行管理操作。受影响的Primavera产品包括Primavera P6、Primavera Gateway和Primavera Unifier。
Oracle Middleware| CVE-2016-1000031和CVE-2019-2904
CVE-2016-1000031是在ApacheCommons文件上传库中发现的远程代码执行漏洞,Oracle CPU对它并不陌生。本月,该漏洞在Oracle Fusion中间件的虚拟目录服务器组件中得到修补。CVE最早是由Tenable Research于2016年发现的,此后在多个Oracle产品中进行了修补。此易受攻击的漏洞允许攻击者使用HTTP请求危害Oracle虚拟目录。
CVE-2019-2904是Oracle JDeveloper的ADF Faces组件和Oracle Fusion中间件的ADF产品中的一个未指定漏洞。该漏洞被描述为“易于利用”,允许未经验证的远程攻击者利用精心编制的http请求危害并接管oracle jdeveloper和adf。
Oracle PeopleSoft| CVE-2016-0729,CVE-2019-3862
CVE-2016-0729是ApacheXerces-C中XML解析器库中的多个关键缓冲区溢出漏洞,最初是在2016年修补的。此漏洞存在于oracle中的集成代理中。它可能允许未经验证的远程攻击者造成拒绝服务。
CVE-2019-3862是LISSH2中的一个越界读取漏洞,原因是在SHSMSMSGCHANNELL请求包中没有正确的退出状态消息解析。该漏洞已于2019年3月修补。该漏洞存在于Oracle PosioSoT的文件处理功能中。
修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html。
参考链接
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
京公网安备11010802024551号