甲骨文第2季安全更新修補520項漏洞

商用軟體大廠甲骨文本周釋出今年第二季安全更新，修補包括520項漏洞，包括2項風險值10的重大漏洞。

本季修補的漏洞涵括甲骨文31項產品。500多項漏洞中，包括77個重大漏洞及141項高風險漏洞，佔比各為14.8%及27.1%。

而在重大漏洞中有2項被判定風險值為最高的10分，分別是CVE-2022-22947及 CVE-2022-21431。CVE-2022-22947影響Oracle Communications產品，當產品中開啟Spring Cloud Gateway端點，遠端攻擊者就可發送惡意HTTP呼叫開採，而在主機上執行任意程式碼。CVE-2022-21431則影響Oracle Communications Billing及Revenue Management。未經授權的攻擊者可送TCP呼叫開採來接管這兩項產品，不過甲骨文表示，本漏洞也可能影響其他產品。

本季安全更新也修補了SpringShell漏洞CVE-2022-22965 。

一項編號CVE-2022-21449的漏洞，成功攻擊可讓駭客新增、刪除或修改存取Oracle Java SE（15到18版）、Oracle Java SE訂閱服務中的Oracle GraalVM Enterprise Edition。雖然甲骨文給予7.5的風險值，但有安全研究人員認為應達到10。

這次的更新也涵括源自第三方元件的漏洞，包括2個新的Apache Log4j漏洞，分別是中度風險的CVE-2021-44832 及高風險的CVE-2022-23305。

以數量而言，本季甲骨文修補的漏洞以Oracle Communications、Fusion Middleware最多，兩者也分別有98個和41個可非授權遠端開採的漏洞，超過所有其他產品。

其他修補的主要產品由漏洞數量來看，還包括Oracle MySQL、Oracle PeopleSoft、Hyperion、Supply Chain、Enterprise Manager、JD Edwards、Oracle Virtualization、Database Server、E-Business Suite等。