Oracle2022年10月安全风险通告

发布者:丁志锋发布时间:2022-10-20浏览次数:811

一、背景介绍

1019日,市委网信办技术支撑单位监测到Oracle 官方发布了 10 月重要补丁更新公告 CPUCritical Patch Update),此次安全更新涉及Oracle旗下多个常用产品。建议尽快更新修复程序,对漏洞进行修复。

1.1漏洞描述

Oracle Fusion MiddlewareCVE-2022-33980CVE-2022-23943CVE-2022-23305CVE-2022-25315CVE-2022-32532):在未经用户身份验证的情况下即可远程进行利用,即无需用户凭据即可通过网络利用。

Oracle MySQLCVE-2022-32207 CVE-2022-31129CVE-2022-35737CVE-2022-21600):在未经用户身份验证的情况下即可远程进行利用。

Oracle Insurance ApplicationsCVE-2022-25647CVE-2020-36518):在未经用户身份验证的情况下即可远程进行利用。攻击者可以通过 HTTP 访问网络发送恶意请求,从而控制产品中的组件进而对关键数据完全访问。

Oracle Communications ApplicationsCVE-2022-23632CVE-2022-31813CVE-2022-2068CVE-2021-43527CVE-2021-3918):在未经用户身份验证的情况下即可远程进行利用。

Oracle E-Business SuiteCVE-2022-23305CVE-2022-21587CVE-2022-39428):在未经用户身份验证的情况下即可远程进行利用。攻击者可以通过 HTTP 访问网络,从而破坏套件中的产品,从而对关键数据的未授权访问或对所有套件中产品可访问数据的完全访问。

Oracle Retail ApplicationsCVE-2022-23305CVE-2021-28490CVE-2021-43859CVE-2022-25647CVE-2022-2048):在未经用户身份验证的情况下即可远程进行利用。

1.2漏洞编号

CVE-2022-33980

CVE-2022-23943

CVE-2022-23305

CVE-2022-25315

CVE-2022-32532

CVE-2022-32207

CVE-2022-31129

CVE-2022-35737

CVE-2022-21600

CVE-2022-23457

CVE-2022-25647

CVE-2022-31129

CVE-2022-23181

CVE-2022-25647

CVE-2020-36518

CVE-2022-23632

CVE-2022-31813

CVE-2022-2068

CVE-2021-43527

CVE-2021-3918

CVE-2022-23305

CVE-2022-21587

CVE-2022-39428

CVE-2022-23305

CVE-2021-28490

CVE-2021-43859

CVE-2022-25647

CVE-2022-2048

1.3漏洞等级

高危

二、修复建议

2.1受影响版本:

Oracle Access Manager, versions 12.2.1.3.0, 12.2.1.4.0

MySQL Enterprise Backup, versions 4.1.4 and priorMySQL Enterprise Monitor , versions 8.0.31 and priorMySQL Workbench , versions 8.0.30 and priorMySQL Server, versions 8.0.27 and prior

Oracle Documaker Enterprise Edition, versions 12.6-12.7

Oracle Communications Order and Service Management,versions 7.4Oracle Communications Unified Assurance ,versions Prior to 5.5.7.0.0, 6.0.0.0.0Oracle Communications Messaging Server, versions 8.1Oracle Communications Unified Assurance , versions Prior to 5.5.7.0.0, 6.0.0.0.0Oracle Communications Unified Assurance, versions Prior to 5.5.7.0.0, 6.0.0.0.0

Oracle E-Business Suite, versions 12.2.3-12.2.11

Oracle Retail Fiscal Management, versions 14.2Oracle Retail Customer Management and Segmentation Foundation , versions 18.0, 19.0Oracle Retail Customer Insights, versions 15.0.2, 16.0.2Oracle Retail Customer Management and Segmentation Foundation , versions 17.0, 18.0, 19.0Oracle Retail EFTLink , versions 20.0.1, 21.0.0

2.2修复建议

Oracle官方已经发布安全补丁,建议用户尽快更新修复程序,对漏洞进行修复,相关链接如下:https://www.oracle.com/security-alerts/cpuoct2022.html