甲骨文本周发布第4季安全更新公告,一口气修补了涵盖27项产品系列上共402个漏洞,包含35项被列为重大风险的软件瑕疵。
这次修补规模仅次于7月的安全更新,那次发布了超过440个修补程序,是史上最多的一次。部分原因是多加了第三方产品的漏洞。从10月重大修补更新开始,甲骨文也列入包含于甲骨文产品内的第三方组件,但在甲骨文产品内没有开采疑虑的漏洞修补程序。
本季更新包含多项高风险漏洞。其中有些漏洞不需特殊权限即可开采,例如TimesTen In-Memory数据库就包含4个(CVE-2018-11058, CVE-2017-5645, CVE-2019-1010239 and CVE-2019-0201),而甲骨文通信(Communications)有高达41项不需用户验证即可远程开采,而Fusion Middleware及eBusiness Suite类似漏洞则各有36个和25个。
其中,安全厂商Tenable提醒WebLogic Server核心组件中的CVE-2020-14825、CVE-2020-14841、CVE-2020-14859三项漏洞特别值得留意。由于未授权的攻击者只要通过Oracle T3或Internet Inter-ORB协议联网即可黑入,甲骨文列为“容易开采”。三项漏洞影响Oracle WebLogic 12.2.1.3.0、12.2.1.4.0和14.1.1.0.0,后2项漏洞还另外影响10.3.6.0.0和12.1.3.0.0版。针对CVE-2002-14841,研究人员Hamid Kashfi也在本周公布概念验证攻击程序。
另外WebLogic Server Console组件,也出现甲骨文形容“易被开采”的漏洞CVE-2020-14882,未经授权的攻击者只要发送恶意HTTP调用即可黑入系统,进而接管系统,影响10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0及14.1.1.0.0版。
甲骨文指出,往往有些漏洞来自用户未能安装修补程序,引发成功的攻击事件,因此该公司也呼吁用户尽快安装修补程序。
美国国安局(NSA)本周公布的25项中国黑客积极开采的漏洞中,甲骨文产品有2项漏洞上榜,分别位于Oracle WebLogic Server的WLS Security组件(CVE-2015 -4852),以及Oracle Fusion Middleware中Coherence(CVE-2020-2555),前者为RCE漏洞,后者则允许黑客接管系统。