服务公告
Oracle多个产品高危漏洞补丁安全预警
2020-10-21
一、概要
近日,华为云关注到Weblogic未授权命令执行漏洞PoC已公开(漏洞编号:CVE-2020-14882/CVE-2020-14883),安全风险升高,请受影响的用户尽快升级至安全版本。
10月21日,华为云监测到Oracle官方发布了10月份的安全更新,披露了多款旗下产品的安全漏洞, 其中包括5个WebLogic的严重漏洞(CVE-2020-14825、CVE-2020-14841、CVE-2020-14859、CVE-2020-14882、CVE-2019-17267),未经身份验证的攻击者可通过HTTP、IIOP、T3协议发送构造好的恶意请求实现远程代码执行,风险较高。
华为云提醒使用Weblogic及Oracle相关产品的用户及时安排自检并做好安全加固。
参考链接:
https://www.oracle.com/security-alerts/cpuoct2020.html
本次Oracle季度安全更新修复了402个危害程度不同的安全漏洞,主要涵盖了 Oracle Weblogic 、 Oracle Endeca Information Discovery Integrator 、 Oracle WebCenter Portal 、 Oracle BI Publisher 、 Oracle Business Intelligence Enterprise Edition 等产品,具体漏洞信息请参考上述官方链接。
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞说明
CVE编号 | 影响产品 | 严重程度 | 受影响版本 |
CVE-2020-14882 | Oracle WebLogic Server | 严重 | 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-14841 | Oracle WebLogic Server | 严重 | 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-14825 | Oracle WebLogic Server | 严重 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-14859 | Oracle WebLogic Server | 严重 | 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-14820 | Oracle WebLogic Server | 严重 | 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-10683 | Oracle Health Sciences Empirica Signal | 严重 | 9.0 |
CVE-2020-14855 | Oracle Universal Work Queue | 严重 | 12.1.3 |
CVE-2019-13990 | Enterprise Manager Ops Center | 严重 | 12.4.0.0 |
CVE-2019-17495 | Oracle Banking Platform | 严重 | 2.4.0-2.10.0 |
CVE-2020-8174 | MySQL Cluster | 严重 | 7.3.30 and prior, 7.4.29 and prior, 7.5.19 and prior, 7.6.15 and prior, 8.0.21 and prior |
CVE-2020-14735 | Scheduler | 高危 | 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c |
(注:以上为部分严重漏洞,其他漏洞及详情请参见官方说明)
四、漏洞影响范围
Oracle Weblogic 、 Oracle Endeca Information Discovery Integrator 、 Oracle WebCenter Portal等产品
五、漏洞处置
官方已发布补丁修复程序,需用户持有正版软件的许可账号,登陆https://support.oracle.com后,下载最新补丁。
注:修复漏洞前请将资料备份,并进行充分测试。