甲骨文10月修補402個漏洞

甲骨文本周釋出第4季安全更新公告，一口氣修補了涵括27項產品系列上共402個漏洞，包含35項被列為重大風險的軟體瑕疵。

這次修補規模僅次於7月的安全更新，那次釋出了超過440個修補程式，是史上最多的一次。部份原因是多加了第三方產品的漏洞。從10月重大修補更新開始，甲骨文也列入包含於甲骨文產品內的第三方元件，但在甲骨文產品內沒有開採疑慮的漏洞修補程式。

本季更新包含多項高風險漏洞。其中有些漏洞不需特殊權限即可開採，例如TimesTen In-Memory資料庫就包含4個（CVE-2018-11058, CVE-2017-5645, CVE-2019-1010239 and CVE-2019-0201），而甲骨文通訊（Communications）有高達41項不需使用者驗證即可遠端開採，而Fusion Middleware及eBusiness Suite類似漏洞則各有36個和25個。

其中，安全廠商Tenable提醒WebLogic Server核心元件中的CVE-2020-14825、CVE-2020-14841、CVE-2020-14859三項漏洞特別值得留意。由於未授權的攻擊者只要透過Oracle T3或Internet Inter-ORB協定連網即可駭入，甲骨文列為「容易開採」。三項漏洞影響Oracle WebLogic 12.2.1.3.0、12.2.1.4.0 和14.1.1.0.0，後2項漏洞還另外影響10.3.6.0.0和12.1.3.0.0版。針對CVE-2002-14841，研究人員Hamid Kashfi 也在本周公布概念驗證攻擊程式。

另外WebLogic Server Console元件，也出現甲骨文形容「易被開採」的漏洞CVE-2020-14882，未經授權的攻擊者只要傳送惡意HTTP呼叫即可駭入系統，進而接管系統，影響10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0及14.1.1.0.0版。

甲骨文指出，往往有些漏洞來自用戶未能安裝修補程式，引發成功的攻擊事件，因此該公司也呼籲用戶儘速安裝修補程式。

美國國安局（NSA）本周公布的25項中國駭客積極開採的漏洞中， 甲骨文產品有2項漏洞上榜，分別位於Oracle WebLogic Server的WLS Security 元件（CVE-2015-4852），以及 Oracle Fusion Middleware中Coherence（CVE-2020-2555），前者為RCE漏洞，後者則允許駭客接管系統。