Oracle于美国时间2020年7月14日发布大规模的补丁更新,以修补多达433个新的安全漏洞,漏洞影响Oracle的多款产品。数百个新漏洞无需身份验证即可被远程利用,也就是说不需要用户登录信息就可以通过网络来利用。由于成功攻击带来的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。
在应用关键补丁更新补丁之前,可通过阻止攻击所需的网络协议来降低成功攻击的风险。对于需要某些特权或访问某些程序包的攻击,删除特权或从不需要特权的用户那里访问程序包的能力可以帮助降低成功攻击的风险。
Oracle官方建议称:以上两种方法都可能破坏应用程序功能,Oracle强烈建议客户在非生产系统上测试更改。两种方法都不能视为长期解决方案,因为它们都不能解决根本问题。
在7月的安全更新中,CVSS的安全漏洞评分最高分为10.0,这意味着这类漏洞极容易利用,并为攻击者提供了广泛的特权,而无数评分为9.8的漏洞影响从MySQL到针对Oracle Financial Services Applications的整整38个新安全补丁的各个产品;Oracle表示,令人担忧的是,其中一半以上无需身份验证就可以被远程利用。
Oracle补丁更新是其标准季度发布周期的一部分。这是这个软件巨头在单单一天内发布的数量最多的补丁,发布补丁数量第二多要追溯到2015年1月。
以下这些是爆出关键漏洞的产品,摘自Oracle的预览版指南。
Oracle
Communications Applications(Oracle通信应用软件)
•安全补丁:58个
•CVSS最高评分:10.0
•无需身份验证即可远程利用:45个
Oracle
Construction and Engineering(Oracle建筑和工程软件)
•安全补丁:20个
•CVSS最高评分:9.8
•无需身份验证即可远程利用:15个
Oracle
E-Business Suite(Oracle电子商务套件)
•安全补丁:29个
•CVSS最高评分:9.1
•无需身份验证即可远程利用:23个
Oracle
Enterprise Manager(Oracle企业管理软件)
•安全补丁:14个
•CVSS最高评分:9.8
•无需身份验证即可远程利用:10个
Oracle
Financial Services Applications(Oracle金融服务应用软件)
•安全补丁:38个
•CVSS最高评分:9.8
•无需身份验证即可远程利用:26个
Oracle
Fusion Middleware(Oracle Fusion中间件)
•安全补丁:53个
•CVSS最高评分:9.8
•未经身份验证可远程利用:49个
Oracle JD Edwards
•安全补丁:6个
•CVSS最高评分:9.8
•无需身份验证即可远程利用:6个
Oracle MySQL
•安全补丁:40个
•CVSS最高评分:9.8
•无需身份验证即可远程利用:6个
Oracle
Retail Applications(Oracle零售应用软件)
•安全补丁:39个
•CVSS最高评分:9.8
•未经身份验证可远程利用:34个
Oracle Siebel CRM
•安全补丁:5个
•CVSS最高评分:9.8
•无需身份验证即可远程利用:5个
Oracle
Supply Chain(Oracle供应链软件)
•安全补丁:22个
•CVSS最高评分:9.8
•无需身份验证即可远程利用:18个
Oracle
Database Server(Oracle数据库服务器)
•安全补丁:20个
•CVSS最高评分:8.8
•无需身份验证即可远程利用:1个
Oracle GoldenGate
•安全补丁:3个
•CVSS最高评分:9.6
•无需身份验证即可远程利用:1个
参考资料: