首页 > 清静研究 > 清静转达 > 清静通告

Oracle全系产品2019年10月要害补丁更新清静通告

宣布时间 2019-10-17

误差概述

10月15日，Oracle宣布了2019年10月的要害补丁更新（CPU），作为季度误差修复宣布的一部分。此更新包括多个Oracle产品中219个补丁中180个CVE的修复程序。涉及Oracle Enterprise manager Products Suite、Oracle Fusion Middleware、Oracle Knowledge、Oracle MySQL等多个产品。

其中Weblogic Serve保存多个高危误差

Oracle WebLogic Server| CVE-2019-2887, CVE-2019-2890, CVE-2019-2891

CVE-2019-2887与CVE-2019-2890导致攻击者可以在未授权的情形下通过T3协议对保存误差的WebLogic组件举行远程攻击，禁用T3协议操作方法举行防护可参考链接https://mp.weixin.qq.com/s/YWTSyEVunQUordwxThrGwA。

CVE-2019-2891可导致攻击者能发送HTTP请求攻击WebLogic Server。

别的尚有以下WebLogic Server误差需要举行关注：CVE-2019-2888，CVE-2019-2889，CVE-2015-9251，CVE-2019-11358，CVE-2019-17091。

本季度的CPU还包括18个CVSS 9+误差；使用这些误差可能导致未履历证的会见或完全接受易受攻击的资产。

CVE#	Product	BaseScore
CVE-2018-14721	Oracle NoSQL Database	10
CVE-2017-6056	Instantis EnterpriseTrack	9.8
CVE-2019-14379	Primavera Gateway	9.8
CVE-2019-14379	Primavera Unifier	9.8
CVE-2019-3020	Primavera P6 Enterprise Project Portfolio Management	9.3
CVE-2016-4000	Enterprise Manager Base Platform	9.8
CVE-2019-14379	Oracle Banking Platform	9.8
CVE-2019-14379	Oracle Financial Services Analytical Applications Infrastructure	9.8
CVE-2019-2904	Oracle JDeveloper and ADF	9.8
CVE-2016-1000031	Oracle Virtual Directory	9.8
CVE-2017-5645	JD Edwards EnterpriseOne Tools	9.8
CVE-2019-8457	MySQL Workbench	9.8
CVE-2016-0729	PeopleSoft Enterprise PeopleTools	9.8
CVE-2019-3862	PeopleSoft Enterprise PeopleTools	9.1
CVE-2018-19362	MICROS Retail XBRi Loss Prevention	9.8
CVE-2019-14379	Oracle Retail Xstore Point of Service	9.8
CVE-2018-1000007	Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servers	9.8
CVE-2016-6814	Agile Recipe Management for Pharmaceuticals	9.8

这里我们更详细地形貌了一些CVSS 9+评分CVE：

Oracle NoSQL数据库| CVE-2018-14721

本月最值得注重的补丁之一解决了CVE-2018-14721，这是Oracle NoSQL数据库中影响19.3.12之前所有版本的误差。该误差保存于Jackson DATABONE NOSQL组件内。通过HTTP举行网络会见的未经身份验证的攻击者可以使用此误差接受Oracle NoSQL数据库。此误差以前在其他Oracle产品（包括Oracle 2019年1月的CPU）中已获得解决。

Oracle MySQL| CVE-2019-8457

CVE-2019-8457是Oracle MySQL的sqlite组件中的堆越界读取误差，该误差可让未履历证的攻击者破损并接受MySQL Workbench。Oracle MySQL8.0.17及以前版本受到影响。

Oracle Enterprise Manager| CVE-2016-4000

CVE-2016-4000是Oracle Enterprise Manager中的一个误差，它允许未履历证的攻击者发送恶意HTTP请求以完全接受易受攻击的主机。该缺陷保存于Oracle企业治理器的Jython组件中，并允许攻击者使用全心制作的序列化PyType工具执行恣意代码。

Oracle Construction and Engineering| CVE-2017-6056,CVE-2019-14379,CVE-2019-14379和CVE-2019-3020

CVE-2017-6056与Instantis Enterprise有关，其余CVE是Primavera中发明的误差。关于这些CVE中的每一个，未履历证的攻击者都可以向易受攻击的组件发送恶意HTTP请求，并完全接受受攻击的目的或对其执行治理操作。受影响的Primavera产品包括Primavera P6、Primavera Gateway和Primavera Unifier。

Oracle Middleware| CVE-2016-1000031和CVE-2019-2904

CVE-2016-1000031是在ApacheCommons文件上传库中发明的远程代码执行误差，Oracle CPU对它并不生疏。本月，该误差在Oracle Fusion中心件的虚拟目录服务器组件中获得修补。CVE最早是由Tenable Research于2016年发明的，以后在多个Oracle产品中举行了修补。此易受攻击的误差允许攻击者使用HTTP请求危害Oracle虚拟目录。

CVE-2019-2904是Oracle JDeveloper的ADF Faces组件和Oracle Fusion中心件的ADF产品中的一个未指定误差。该误差被形貌为“易于使用”，允许未履历证的远程攻击者使用全心体例的http请求危害并接受oracle jdeveloper和adf。

Oracle PeopleSoft| CVE-2016-0729,CVE-2019-3862

CVE-2016-0729是ApacheXerces-C中XML剖析器库中的多个要害缓冲区溢出误差，最初是在2016年修补的。此误差保存于oracle中的集成署理中。它可能允许未履历证的远程攻击者造成拒绝服务。

CVE-2019-3862是LISSH2中的一个越界读取误差，缘故原由是在SHSMSMSGCHANNELL请求包中没有准确的退出状态新闻剖析。该误差已于2019年3月修补。该误差保存于Oracle PosioSoT的文件处置惩罚功效中。

修复建议

现在厂商已宣布升级补丁以修复误差，补丁获取链接：https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html。

参考链接

https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html

https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

Oracle全系产品2019年10月要害补丁更新清静通告

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线