安全廠商Tenable提醒用戶留意WebLogic Server核心元件中的CVE-2020-14825、 CVE-2020-14841、CVE-2020-14859漏洞。由於未授權的攻擊者只要透過Oracle T3或Internet Inter-ORB協定連網即可駭入,官方將這批漏洞嚴重性列為「容易開採」等級。(示意圖,圖片來源/甲骨文)

甲骨文本周釋出第4季安全更新公告,一口氣修補了涵括27項產品系列上共402個漏洞,包含35項被列為重大風險的軟體瑕疵。

這次修補規模僅次於7月的安全更新,那次釋出了超過440個修補程式,是史上最多的一次。部份原因是多加了第三方產品的漏洞。從10月重大修補更新開始,甲骨文也列入包含於甲骨文產品內的第三方元件,但在甲骨文產品內沒有開採疑慮的漏洞修補程式。

本季更新包含多項高風險漏洞。其中有些漏洞不需特殊權限即可開採,例如TimesTen In-Memory資料庫就包含4個(CVE-2018-11058, CVE-2017-5645, CVE-2019-1010239 and CVE-2019-0201),而甲骨文通訊(Communications)有高達41項不需使用者驗證即可遠端開採,而Fusion Middleware及eBusiness Suite類似漏洞則各有36個和25個。

其中,安全廠商Tenable提醒WebLogic Server核心元件中的CVE-2020-14825、CVE-2020-14841、CVE-2020-14859三項漏洞特別值得留意。由於未授權的攻擊者只要透過Oracle T3或Internet Inter-ORB協定連網即可駭入,甲骨文列為「容易開採」。三項漏洞影響Oracle WebLogic 12.2.1.3.0、12.2.1.4.0 和14.1.1.0.0,後2項漏洞還另外影響10.3.6.0.0和12.1.3.0.0版。針對CVE-2002-14841,研究人員Hamid Kashfi 也在本周公布概念驗證攻擊程式。

另外WebLogic Server Console元件,也出現甲骨文形容「易被開採」的漏洞CVE-2020-14882,未經授權的攻擊者只要傳送惡意HTTP呼叫即可駭入系統,進而接管系統,影響10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0及14.1.1.0.0版。

甲骨文指出,往往有些漏洞來自用戶未能安裝修補程式,引發成功的攻擊事件,因此該公司也呼籲用戶儘速安裝修補程式。

美國國安局(NSA)本周公布的25項中國駭客積極開採的漏洞中, 甲骨文產品有2項漏洞上榜,分別位於Oracle WebLogic Server的WLS Security 元件(CVE-2015-4852),以及 Oracle Fusion Middleware中Coherence(CVE-2020-2555),前者為RCE漏洞,後者則允許駭客接管系統。

熱門新聞


Advertisement