首页 > 清静研究 > 清静转达 > 清静通告

Oracle全系产品2019年10月要害补丁更新清静通告

宣布时间 2019-10-17

误差概述

10月15日，，，，，，Oracle宣布了2019年10月的要害补丁更新（CPU），，，，，，作为季度误差修复宣布的一部分。。。。。。此更新包括多个Oracle产品中219个补丁中180个CVE的修复程序。。。。。。涉及Oracle Enterprise manager Products Suite、Oracle Fusion Middleware、Oracle Knowledge、Oracle MySQL等多个产品。。。。。。

其中Weblogic Serve保存多个高危误差

Oracle WebLogic Server| CVE-2019-2887, CVE-2019-2890, CVE-2019-2891

CVE-2019-2887与CVE-2019-2890导致攻击者可以在未授权的情形下通过T3协议对保存误差的WebLogic组件举行远程攻击，，，，，，禁用T3协议操作方法举行防护可参考链接https://mp.weixin.qq.com/s/YWTSyEVunQUordwxThrGwA。。。。。。

CVE-2019-2891可导致攻击者能发送HTTP请求攻击WebLogic Server。。。。。。

别的尚有以下WebLogic Server误差需要举行关注：CVE-2019-2888，，，，，，CVE-2019-2889，，，，，，CVE-2015-9251，，，，，，CVE-2019-11358，，，，，，CVE-2019-17091。。。。。。

本季度的CPU还包括18个CVSS 9+误差；；；；使用这些误差可能导致未履历证的会见或完全接受易受攻击的资产。。。。。。

CVE#	Product	BaseScore
CVE-2018-14721	Oracle NoSQL Database	10
CVE-2017-6056	Instantis EnterpriseTrack	9.8
CVE-2019-14379	Primavera Gateway	9.8
CVE-2019-14379	Primavera Unifier	9.8
CVE-2019-3020	Primavera P6 Enterprise Project Portfolio Management	9.3
CVE-2016-4000	Enterprise Manager Base Platform	9.8
CVE-2019-14379	Oracle Banking Platform	9.8
CVE-2019-14379	Oracle Financial Services Analytical Applications Infrastructure	9.8
CVE-2019-2904	Oracle JDeveloper and ADF	9.8
CVE-2016-1000031	Oracle Virtual Directory	9.8
CVE-2017-5645	JD Edwards EnterpriseOne Tools	9.8
CVE-2019-8457	MySQL Workbench	9.8
CVE-2016-0729	PeopleSoft Enterprise PeopleTools	9.8
CVE-2019-3862	PeopleSoft Enterprise PeopleTools	9.1
CVE-2018-19362	MICROS Retail XBRi Loss Prevention	9.8
CVE-2019-14379	Oracle Retail Xstore Point of Service	9.8
CVE-2018-1000007	Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servers	9.8
CVE-2016-6814	Agile Recipe Management for Pharmaceuticals	9.8

这里我们更详细地形貌了一些CVSS 9+评分CVE：

Oracle NoSQL数据库| CVE-2018-14721

本月最值得注重的补丁之一解决了CVE-2018-14721，，，，，，这是Oracle NoSQL数据库中影响19.3.12之前所有版本的误差。。。。。。该误差保存于Jackson DATABONE NOSQL组件内。。。。。。通过HTTP举行网络会见的未经身份验证的攻击者可以使用此误差接受Oracle NoSQL数据库。。。。。。此误差以前在其他Oracle产品（包括Oracle 2019年1月的CPU）中已获得解决。。。。。。

Oracle MySQL| CVE-2019-8457

CVE-2019-8457是Oracle MySQL的sqlite组件中的堆越界读取误差，，，，，，该误差可让未履历证的攻击者破损并接受MySQL Workbench。。。。。。Oracle MySQL8.0.17及以前版本受到影响。。。。。。

Oracle Enterprise Manager| CVE-2016-4000

CVE-2016-4000是Oracle Enterprise Manager中的一个误差，，，，，，它允许未履历证的攻击者发送恶意HTTP请求以完全接受易受攻击的主机。。。。。。该缺陷保存于Oracle企业治理器的Jython组件中，，，，，，并允许攻击者使用全心制作的序列化PyType工具执行恣意代码。。。。。。

Oracle Construction and Engineering| CVE-2017-6056,CVE-2019-14379,CVE-2019-14379和CVE-2019-3020

CVE-2017-6056与Instantis Enterprise有关，，，，，，其余CVE是Primavera中发明的误差。。。。。。关于这些CVE中的每一个，，，，，，未履历证的攻击者都可以向易受攻击的组件发送恶意HTTP请求，，，，，，并完全接受受攻击的目的或对其执行治理操作。。。。。。受影响的Primavera产品包括Primavera P6、Primavera Gateway和Primavera Unifier。。。。。。

Oracle Middleware| CVE-2016-1000031和CVE-2019-2904

CVE-2016-1000031是在ApacheCommons文件上传库中发明的远程代码执行误差，，，，，，Oracle CPU对它并不生疏。。。。。。本月，，，，，，该误差在Oracle Fusion中心件的虚拟目录效劳器组件中获得修补。。。。。。CVE最早是由Tenable Research于2016年发明的，，，，，，以后在多个Oracle产品中举行了修补。。。。。。此易受攻击的误差允许攻击者使用HTTP请求危害Oracle虚拟目录。。。。。。

CVE-2019-2904是Oracle JDeveloper的ADF Faces组件和Oracle Fusion中心件的ADF产品中的一个未指定误差。。。。。。该误差被形貌为“易于使用”，，，，，，允许未履历证的远程攻击者使用全心体例的http请求危害并接受oracle jdeveloper和adf。。。。。。

Oracle PeopleSoft| CVE-2016-0729,CVE-2019-3862

CVE-2016-0729是ApacheXerces-C中XML剖析器库中的多个要害缓冲区溢出误差，，，，，，最初是在2016年修补的。。。。。。此误差保存于oracle中的集成署理中。。。。。。它可能允许未履历证的远程攻击者造成拒绝效劳。。。。。。

CVE-2019-3862是LISSH2中的一个越界读取误差，，，，，，缘故原由是在SHSMSMSGCHANNELL请求包中没有准确的退出状态新闻剖析。。。。。。该误差已于2019年3月修补。。。。。。该误差保存于Oracle PosioSoT的文件处置惩罚功效中。。。。。。

修复建议

现在厂商已宣布升级补丁以修复误差，，，，，，补丁获取链接：https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html。。。。。。

参考链接

https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html

https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

Oracle全系产品2019年10月要害补丁更新清静通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线