服务公告

全部公告 > 安全公告 > Oracle多个产品高危漏洞补丁安全预警

Oracle多个产品高危漏洞补丁安全预警

2020-10-21

一、概要

近日,华为云关注到Weblogic未授权命令执行漏洞PoC已公开(漏洞编号:CVE-2020-14882/CVE-2020-14883),安全风险升高,请受影响的用户尽快升级至安全版本。

10月21日,华为云监测到Oracle官方发布了10月份的安全更新,披露了多款旗下产品的安全漏洞, 其中包括5个WebLogic的严重漏洞(CVE-2020-14825、CVE-2020-14841、CVE-2020-14859、CVE-2020-14882、CVE-2019-17267),未经身份验证的攻击者可通过HTTP、IIOP、T3协议发送构造好的恶意请求实现远程代码执行,风险较高。

华为云提醒使用Weblogic及Oracle相关产品的用户及时安排自检并做好安全加固。

参考链接:

https://www.oracle.com/security-alerts/cpuoct2020.html

本次Oracle季度安全更新修复了402个危害程度不同的安全漏洞,主要涵盖了 Oracle Weblogic 、 Oracle Endeca Information Discovery Integrator 、 Oracle WebCenter Portal 、 Oracle BI Publisher 、 Oracle Business Intelligence Enterprise Edition 等产品,具体漏洞信息请参考上述官方链接。

 

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

 

三、漏洞说明

CVE编号

影响产品

严重程度

受影响版本

CVE-2020-14882

Oracle   WebLogic Server

严重

10.3.6.0.0,   12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2020-14841

Oracle   WebLogic Server

严重

10.3.6.0.0,   12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2020-14825

Oracle   WebLogic Server

严重

12.2.1.3.0,   12.2.1.4.0, 14.1.1.0.0

CVE-2020-14859

Oracle   WebLogic Server

严重

10.3.6.0.0,   12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2020-14820

Oracle   WebLogic Server

严重

10.3.6.0.0,   12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2020-10683

Oracle   Health Sciences Empirica Signal

严重

9.0

CVE-2020-14855

Oracle   Universal Work Queue

严重

12.1.3

CVE-2019-13990

Enterprise   Manager Ops Center

严重

12.4.0.0

CVE-2019-17495

Oracle   Banking Platform

严重

2.4.0-2.10.0

CVE-2020-8174

MySQL   Cluster

严重

7.3.30   and prior, 7.4.29 and prior, 7.5.19 and prior, 7.6.15 and prior, 8.0.21 and   prior

CVE-2020-14735

Scheduler

高危

11.2.0.4,   12.1.0.2, 12.2.0.1, 18c, 19c

(注:以上为部分严重漏洞,其他漏洞及详情请参见官方说明)

 

四、漏洞影响范围

Oracle Weblogic 、 Oracle Endeca Information Discovery Integrator 、 Oracle WebCenter Portal等产品

、漏洞处置

官方已发布补丁修复程序,需用户持有正版软件的许可账号,登陆https://support.oracle.com后,下载最新补丁。

注:修复漏洞前请将资料备份,并进行充分测试。