2020-07 补丁日:Oracle多个产品高危漏洞安全风险通告
2020.7.17
摘要
Oracle高危漏洞安全风险通告。
0x01 事件简述
北京时间2020年07月14日,市委网信办技术支撑单位监测到Oracle官方于美国时间2020年7月14日将发布大规模的季度补丁更新,以修补多达433个的新安全漏洞,包含Oracle通信应用软件,Oracle建筑和工程软件,Oracle电子商务套件,Oracle企业管理软件,Oracle金融服务应用软件,Oracle Fusion中间件,Oracle JD Edwards,Oracle MySQL,Oracle零售应用软件,Oracle Siebel CRM,Oracle供应链软件,Oracle数据库服务器,Oracle GoldenGate等。
在本次发布的443个漏洞中,无需身份验证即可远程利用在此次爆发的漏洞中存在239个,大部分CVSS评分在9.0分以上,部分CVSS10.0(CVSS的安全漏洞评分最高分为10.0)
Oracle甲骨文公司,全称甲骨文股份有限公司(甲骨文软件系统有限公司),是全球最大的企业级软件公司,总部位于美国加利福尼亚州的红木滩。1989年正式进入中国市场。2013年,甲骨文已超越 IBM ,成为继 Microsoft 后全球第二大软件公司。
Oracle Database Server(Oracle数据库服务器),ORACLE数据库系统是美国ORACLE公司(甲骨文)提供的以分布式数据库为核心的一组软件产品,是目前最流行的客户/服务器(CLIENT/SERVER)或B/S体系结构的数据库之一。比如SilverStream就是基于数据库的一种中间件。ORACLE数据库是目前世界上使用最为广泛的数据库管理系统,作为一个通用的数据库系统,它具有完整的数据管理功能。
0x02 漏洞基本信息
所属厂商 | ORACLE公司(甲骨文) |
影响范围 | Oracle通信应用软件,Oracle建筑和工程软件,Oracle电子商务套件,Oracle企业管理软件,Oracle金融服务应用软件,Oracle Fusion中间件,Oracle JD Edwards,Oracle MySQL,Oracle零售应用软件,Oracle Siebel CRM,Oracle供应链软件,Oracle数据库服务器,Oracle GoldenGate等 |
CVSS最高评分 | 10.0 |
漏洞总数 | 433 |
无需身份验证可远程利用漏洞数 | 239 |
0x03 漏洞详情
Oracle WebLogic Server多个反序列化漏洞
Weblogic本次更新了多个反序列化漏洞,这些漏洞允许未经身份验证的攻击者通过IIOP、T3协议发送构造好的恶意请求,从而在Oracle WebLogic Server执行代码。严重漏洞编号如下:
CVE-2020-14625
CVE-2020-14644
CVE-2020-14645
CVE-2020-14687
Oracle Communications Applications(Oracle通信应用软件)多个严重漏洞
此重要补丁更新包含针对Oracle Communications Applications的60个新的安全补丁。其中的46个漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:
CVE-2020-14701
CVE-2020-14606
Oracle E-Business Suite(Oracle电子商务套件)
此重要补丁更新包含针对Oracle E-Business Suite的30个新的安全补丁。其中的24个漏洞无需身份验证即可被远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:
CVE-2020-14598
CVE-2020-14599
CVE-2020-14658
CVE-2020-14665
Oracle Enterprise Manager(Oracle企业管理软件)
此重要补丁更新包含针对Oracle Enterprise Manager的14个新安全补丁。其中的10个漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:
CVE-2020-9546
CVE-2020-1945
CVE-2019-0227
Oracle Financial Services Applications(Oracle金融服务应用软件)
此重要补丁更新包含针对Oracle Financial Services应用程序的38个新的安全补丁。其中的26个漏洞无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:
CVE-2019-13990
CVE-2020-9546
CVE-2019-2904
CVE-2017-5645
CVE-2017-15708
CVE-2019-13990
CVE-2019-13990
CVE-2019-11358
CVE-2020-1945
CVE-2020-1945
CVE-2020-1945
Oracle MySQL
此重要补丁更新包含40个针对Oracle MySQL的新安全补丁。其中的6个漏洞无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:
CVE-2020-1938
Oracle Database Server
此重要补丁更新包含针对Oracle数据库服务器的19个新安全补丁。这些漏洞中的1个无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:
CVE-2020-2968
0x04 修复建议
通用修补建议:
及时更新补丁,参考oracle官网发布的补丁: https://www.oracle.com/security-alerts/cpujul2020.html
Weblogic 临时修补建议:
1)如果不依赖T3协议进行JVM通信,禁用T3协议。
进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器。
在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入 7001 deny t3 t3s保存生效。
重启Weblogic项目,使配置生效。
2)如果不依赖IIOP协议进行JVM通信,禁用IIOP协议。
进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面。
选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。
重启Weblogic项目,使配置生效
沪公网安备31011502401057号