Oracle多个产品高危漏洞补丁安全预警

2020-10-21

一、概要

近日，华为云关注到Weblogic未授权命令执行漏洞PoC已公开(漏洞编号：CVE-2020-14882/CVE-2020-14883)，安全风险升高，请受影响的用户尽快升级至安全版本。

10月21日，华为云监测到Oracle官方发布了10月份的安全更新，披露了多款旗下产品的安全漏洞， 其中包括5个WebLogic的严重漏洞(CVE-2020-14825、CVE-2020-14841、CVE-2020-14859、CVE-2020-14882、CVE-2019-17267)，未经身份验证的攻击者可通过HTTP、IIOP、T3协议发送构造好的恶意请求实现远程代码执行，风险较高。

华为云提醒使用Weblogic及Oracle相关产品的用户及时安排自检并做好安全加固。

参考链接：

本次Oracle季度安全更新修复了402个危害程度不同的安全漏洞，主要涵盖了 Oracle Weblogic 、 Oracle Endeca Information Discovery Integrator 、 Oracle WebCenter Portal 、 Oracle BI Publisher 、 Oracle Business Intelligence Enterprise Edition 等产品，具体漏洞信息请参考上述官方链接。

二、威胁级别

威胁级别：【严重】

(说明：威胁级别共四级：一般、重要、严重、紧急)

三、漏洞说明CVE编号影响产品严重程度受影响版本

CVE-2020-14882Oracle   WebLogic Server严重10.3.6.0.0,   12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2020-14841Oracle   WebLogic Server严重10.3.6.0.0,   12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2020-14825Oracle   WebLogic Server严重12.2.1.3.0,   12.2.1.4.0, 14.1.1.0.0

CVE-2020-14859Oracle   WebLogic Server严重10.3.6.0.0,   12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2020-14820Oracle   WebLogic Server严重10.3.6.0.0,   12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2020-10683Oracle   Health Sciences Empirica Signal严重9.0

CVE-2020-14855Oracle   Universal Work Queue严重12.1.3

CVE-2019-13990Enterprise   Manager Ops Center严重12.4.0.0

CVE-2019-17495Oracle   Banking Platform严重2.4.0-2.10.0

CVE-2020-8174MySQL   Cluster严重7.3.30   and prior, 7.4.29 and prior, 7.5.19 and prior, 7.6.15 and prior, 8.0.21 and   prior

CVE-2020-14735Scheduler高危11.2.0.4,   12.1.0.2, 12.2.0.1, 18c, 19c

(注：以上为部分严重漏洞，其他漏洞及详情请参见官方说明)

四、漏洞影响范围

Oracle Weblogic、 Oracle Endeca Information Discovery Integrator 、 Oracle WebCenter Portal等产品

五、漏洞处置

官方已发布补丁修复程序，需用户持有正版软件的许可账号，登陆https://support.oracle.com后，下载最新补丁。

注：修复漏洞前请将资料备份，并进行充分测试。