Oracle发布季度补丁更新,官方强烈建议尽快修复

2020-07-15 14:35:44
Oracle于美国时间2020年7月14日发布大规模的补丁更新,以修补多达433个新的安全漏洞,漏洞影响Oracle的多款产品。数百个新漏洞无需身份验证即可被远程利用,也就是说不需要用户登录信息就可以通过网络来利用。由于成功攻击带来的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。

Oracle于美国时间2020714日发布大规模的补丁更新,以修补多达433个新的安全漏洞,漏洞影响Oracle的多款产品。数百个新漏洞无需身份验证即可被远程利用,也就是说不需要用户登录信息就可以通过网络来利用。由于成功攻击带来的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。

 

在应用关键补丁更新补丁之前,可通过阻止攻击所需的网络协议来降低成功攻击的风险。对于需要某些特权或访问某些程序包的攻击,删除特权或从不需要特权的用户那里访问程序包的能力可以帮助降低成功攻击的风险。

 

Oracle官方建议称:以上两种方法都可能破坏应用程序功能,Oracle强烈建议客户在非生产系统上测试更改。两种方法都不能视为长期解决方案,因为它们都不能解决根本问题。

 

7月的安全更新中,CVSS的安全漏洞评分最高分为10.0,这意味着这类漏洞极容易利用,并为攻击者提供了广泛的特权,而无数评分为9.8的漏洞影响从MySQL到针对Oracle Financial Services Applications的整整38个新安全补丁的各个产品;Oracle表示,令人担忧的是,其中一半以上无需身份验证就可以被远程利用。

 

Oracle补丁更新是其标准季度发布周期的一部分。这是这个软件巨头在单单一天内发布的数量最多的补丁,发布补丁数量第二多要追溯到20151月。

 

以下这些是爆出关键漏洞的产品,摘自Oracle的预览版指南。

 

Oracle Communications ApplicationsOracle通信应用软件) 

安全补丁:58

•CVSS最高评分:10.0

无需身份验证即可远程利用:45

 

Oracle Construction and EngineeringOracle建筑和工程软件)

安全补丁:20

•CVSS最高评分:9.8

无需身份验证即可远程利用:15

 

Oracle E-Business SuiteOracle电子商务套件) 

安全补丁:29

•CVSS最高评分:9.1

无需身份验证即可远程利用:23

 

Oracle Enterprise ManagerOracle企业管理软件) 

安全补丁:14

•CVSS最高评分:9.8

无需身份验证即可远程利用:10

 

Oracle Financial Services ApplicationsOracle金融服务应用软件) 

安全补丁:38

•CVSS最高评分:9.8

无需身份验证即可远程利用:26

 

Oracle Fusion MiddlewareOracle Fusion中间件) 

安全补丁:53

•CVSS最高评分:9.8

未经身份验证可远程利用:49

 

Oracle JD Edwards 

安全补丁:6

•CVSS最高评分:9.8

无需身份验证即可远程利用:6

 

Oracle MySQL 

安全补丁:40

•CVSS最高评分:9.8

无需身份验证即可远程利用:6

 

Oracle Retail ApplicationsOracle零售应用软件) 

安全补丁:39

•CVSS最高评分:9.8

未经身份验证可远程利用:34

 

Oracle Siebel CRM 

安全补丁:5

•CVSS最高评分:9.8

无需身份验证即可远程利用:5

 

Oracle Supply ChainOracle供应链软件) 

安全补丁:22

•CVSS最高评分:9.8

无需身份验证即可远程利用:18

 

Oracle Database ServerOracle数据库服务器) 

安全补丁:20

•CVSS最高评分:8.8

无需身份验证即可远程利用:1

 

Oracle GoldenGate 

安全补丁:3

•CVSS最高评分:9.6

无需身份验证即可远程利用:1

 

参考资料:

https://www.oracle.com/security-alerts/cpujul2020.html

最新资讯