Oracle多个产品高危漏洞补丁安全预警
-10-21
一、概要
近日,华为云关注到Weblogic未授权命令执行漏洞PoC已公开(漏洞编号:CVE--14882/CVE--14883),安全风险升高,请受影响的用户尽快升级至安全版本。
10月21日,华为云监测到Oracle官方发布了10月份的安全更新,披露了多款旗下产品的安全漏洞,其中包括5个WebLogic的严重漏洞(CVE--14825、CVE--14841、CVE--14859、CVE--14882、CVE--17267),未经身份验证的攻击者可通过HTTP、IIOP、T3协议发送构造好的恶意请求实现远程代码执行,风险较高。
华为云提醒使用Weblogic及Oracle相关产品的用户及时安排自检并做好安全加固。
参考链接:
本次Oracle季度安全更新修复了402个危害程度不同的安全漏洞,主要涵盖了 Oracle Weblogic 、 Oracle Endeca Information Discovery Integrator 、 Oracle WebCenter Portal 、 Oracle BI Publisher 、 Oracle Business Intelligence Enterprise Edition 等产品,具体漏洞信息请参考上述官方链接。
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞说明CVE编号影响产品严重程度受影响版本
CVE--14882Oracle WebLogic Server严重10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE--14841Oracle WebLogic Server严重10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE--14825Oracle WebLogic Server严重12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE--14859Oracle WebLogic Server严重10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE--14820Oracle WebLogic Server严重10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE--10683Oracle Health Sciences Empirica Signal严重9.0
CVE--14855Oracle Universal Work Queue严重12.1.3
CVE--13990Enterprise Manager Ops Center严重12.4.0.0
CVE--17495Oracle Banking Platform严重2.4.0-2.10.0
CVE--8174MySQL Cluster严重7.3.30 and prior, 7.4.29 and prior, 7.5.19 and prior, 7.6.15 and prior, 8.0.21 and prior
CVE--14735Scheduler高危11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c
(注:以上为部分严重漏洞,其他漏洞及详情请参见官方说明)
四、漏洞影响范围
Oracle Weblogic、 Oracle Endeca Information Discovery Integrator 、 Oracle WebCenter Portal等产品
五、漏洞处置
官方已发布补丁修复程序,需用户持有正版软件的许可账号,登陆后,下载最新补丁。
注:修复漏洞前请将资料备份,并进行充分测试。
