Oracle 10月份多个安全漏洞CVE-2020-28052,CVE-2022-23437,CVE-2022-22971,CVE-2020-17521,CVE-2022-22968,CVE-2021-23450,CVE-2021-43527,CVE-2022-23632,CVE-2021-3918,CVE-2022-31813,CVE-2022-2068,CVE-2022-23305,CVE-2022-21587,CVE-2022-39428,CVE-2022-23457,CVE-2018-1285,CVE-2022-32215

近日,我司监测到Oracle发布10月份安全公告,此次更新了370个漏洞安全补丁,包含Oracle Fusion Middleware、Oracle Communications Applications、Oracle E-Business Suite、Oracle Financial Services Applications、Oracle Enterprise Manager、Oracle Java SE和Oracle MySQL等多个产品和组件。

Oracle公司(甲骨文)是全球最大的信息管理软件及服务供应商。

 

重要漏洞详情如下:

Oracle Fusion Middleware多个安全漏洞

Oracle此次共发布了56个适用于Oracle Fusion Middleware的安全更新,其中有43个漏洞无需经过身份验证即可远程利用。本次发布的更新涉及多个Oracle WebLogic Server漏洞:CVE-2020-28052、CVE-2022-23437 、CVE-2022-22971、CVE-2020-17521和CVE-2022-22968等,其中CVE-2020-28052的CVSS评分为8.1。

1.CVE-2020-28052认证绕过漏洞

风险等级:高危

漏洞类型:认证绕过

漏洞简介:该漏洞允许未经身份验证的攻击者通过 TLS 访问网络来破坏 Oracle WebLogic Server。成功利用此漏洞可导致 Oracle WebLogic Server 被接管。

Oracle Communications Applications多个安全漏洞

Oracle此次共发布了27个适用于Oracle Communications Applications的安全更新,其中有21个漏洞无需经过身份验证即可远程利用。其中严重漏洞包括CVE-2021-23450、CVE-2021-43527、CVE-2022-23632、CVE-2021-3918、CVE-2022-31813、CVE-2022-2068,其CVSS评分为9.8。

1.CVE-2022-23632 Containous Traefik 信任管理问题漏洞

风险等级:高危

漏洞类型:信任管理

漏洞简介:该漏洞允许未经身份验证的攻击者通过 HTTPS 访问网络来破坏 Oracle Communications Messaging Server。成功利用此漏洞可导致 Oracle Communications Messaging Server被接管。

2.CVE-2022-31813 Apache HTTP Server 数据伪造问题漏洞

风险等级:高危

漏洞类型:数据伪造

漏洞简介:该漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问,从而破坏 Oracle Communications Unified Assurance。成功利用此漏洞可导致接管 Oracle Communications Unified Assurance。

3.CVE-2022-2068 OpenSSL 命令注入漏洞

风险等级:高危

漏洞类型:命令注入

漏洞简介:该漏洞允许未经身份验证的攻击者通过 HTTPS 访问网络来破坏 Oracle Communications Unified Assurance。成功利用此漏洞可导致接管 Oracle Communications Unified Assurance。

Oracle E-Business Suite多个安全漏洞

Oracle此次共发布了5个适用于Oracle E-Business Suite的安全更新,其中有4个漏洞无需经过身份验证即可远程利用。其中严重漏洞包括CVE-2022-23305、CVE-2022-21587、CVE-2022-39428,其CVSS评分为9.8。CVE-2022-21587【漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问,从而破坏 Oracle Web Applications Desktop Integrator。成功利用此漏洞可导致 Oracle Web Applications Desktop Integrator 被接管】;CVE-2022-39428【漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问,从而破坏 Oracle Web Applications Desktop Integrator。成功利用此漏洞可导致 Oracle Web Applications Desktop Integrator 被接管。】

1.CVE-2022-23305 Apache Log4j SQL注入漏洞

风险等级:高危

漏洞类型:SQL注入

漏洞简介:该漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问,从而破坏 Oracle E-Business Suite 的应用程序管理包。成功利用此漏洞可能会导致 Oracle E-Business Suite 的 Application Management Pack 被接管。

Oracle Financial Services Applications多个安全漏洞

Oracle此次共发布了24个适用于Oracle Financial Services Applications的安全更新,其中有16个漏洞无需经过身份验证即可远程利用。其中严重漏洞包括CVE-2022-23457,其CVSS评分为9.8。

1.CVE-2022-23457 OWASP ESAPI 路径遍历漏洞

风险等级:高危

漏洞类型:路径遍历

漏洞简介:该漏洞允许通过 HTTP 访问网络的低权限攻击者破坏 Primavera Unifier。成功利用此漏洞可导致 Primavera Unifier 被接管。

Oracle Enterprise Manager多个安全漏洞

Oracle此次共发布了5个适用于Oracle Enterprise Manager的安全更新,其中有4个漏洞无需经过身份验证即可远程利用。其中严重漏洞包括CVE-2018-1285、CVE-2021-23450,其CVSS评分为9.8。

1.CVE-2021-23450 Dojo 原型污染漏洞

风险等级:高危

漏洞类型:远程代码执行

漏洞简介:该漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问,从而破坏 Oracle Communications Convergence。成功利用此漏洞可导致 Oracle Communications Convergence 被接管。

Oracle Java SE多个安全漏洞

Oracle此次共发布了9个适用于Oracle Java SE的安全更新,其中有9个漏洞无需经过身份验证即可远程利用。其中严重漏洞包括CVE-2022-32215,其CVSS评分为9.8。

1.CVE-2022-32215 Node.js 环境问题漏洞

风险等级:高危

漏洞类型:环境问题

漏洞简介:该漏洞允许未经身份验证的攻击者通过 HTTPS 访问网络来破坏 Oracle GraalVM 企业版。成功利用此漏洞可能导致对关键数据或所有 Oracle GraalVM 企业版可访问数据的未授权创建、删除或修改访问,以及对关键数据的未授权访问或对所有 Oracle GraalVM 企业版可访问数据的完全访问。

Oracle MySQL多个安全漏洞

Oracle此次共发布了37个适用于Oracle MySQL的安全更新,其中有11个漏洞无需经过身份验证即可远程利用。其中严重漏洞包括CVE-2022-32207,其CVSS评分为9.8。

1.CVE-2022-32207 curl 安全漏洞

风险等级:高危

漏洞类型:其他

漏洞简介:该漏洞允许未经身份验证的攻击者通过多种协议进行网络访问,从而破坏 MySQL Enterprise Backup。成功利用此漏洞可导致 MySQL Enterprise Backup 被接管。

 

修复建议:

官方已经针对漏洞发布了更新,下载地址如下:

发表评论

评论已关闭。

相关文章