2023 - 10 Oracle补丁日｜漏洞预警

2023年10月18日，Oracle发布了2023年10月份安全更新。

本次更新共修复了387个漏洞, 其中有218个漏洞无需身份验证即可远程利用。

02 漏洞列表

03 漏洞详情

受影响产品:

MySQL Server 5.7.43及之前版本，8.0.34及之前版本8.1.0

CVE-2023-22059

详情:

MySQL Server是一种关系型数据库管理系统(RDBMS)，它使用SQL语言来管理数据库。MySQL是开源并免费使用的，被广泛应用于许多网站和应用程序中，同时支持Windows、Linux和Mac等平台。MySQL Server提供了高性能、可靠性和可伸缩性，同时还支持多种存储引擎，如InnoDB和MyISAM。

经身份验证的低权限攻击者通过多种协议发送恶意请求，最终导致MySQL Server被拒绝服务攻击，严重情况会导致服务崩溃。

CVE-2023-22100

详情:

Oracle VM VirtualBox是一种免费的虚拟机软件，由Oracle公司开发和维护。它允许用户在单个物理计算机上运行多个操作系统，并且支持Windows、Linux、macOS等平台。
VirtualBox使用虚拟硬件来模拟客户机硬件，并且可以在不同的操作系统之间共享文件和网络资源。

经身份验证的高权限攻击者通过多种协议发送恶意请求，最终导致Oracle Oracle VM VirtualBox被拒绝服务攻击，严重情况会导致服务崩溃；同时也有可能导致对关键数据的未授权访问。

CVE-2023-22098

详情:

Oracle VM VirtualBox是一种免费的虚拟机软件，由Oracle公司开发和维护。它允许用户在单个物理计算机上运行多个操作系统，并且支持Windows、Linux、macOS等平台。

VirtualBox使用虚拟硬件来模拟客户机硬件，并且可以在不同的操作系统之间共享文件和网络资源。

经身份验证的高权限攻击者通过多种协议发送恶意请求，最终导致Oracle Oracle VM VirtualBox被拒绝服务攻击，严重情况会导致服务崩溃；同时也有可能导致对关键数据的未授权访问。

CVE-2023-22069

详情：

Oracle WebLogic Server是一种用于构建、部署和管理大型分布式Web应用程序、网络应用程序和数据库应用程序的中间件产品。它提供了一组强大的工具来管理应用程序的生命周期，并且支持多种编程语言和多种协议。WebLogic Server是一种商业产品，由Oracle公司开发和销售。

未经身份验证的攻击者通过T3, IIOP协议发送恶意请求，最终接管Oracle Oracle WebLogic Server。

CVE-2023-22072

详情：

Oracle WebLogic Server是一种用于构建、部署和管理大型分布式Web应用程序、网络应用程序和数据库应用程序的中间件产品。它提供了一组强大的工具来管理应用程序的生命周期，并且支持多种编程语言和多种协议。WebLogic Server是一种商业产品，由Oracle公司开发和销售。

未经身份验证的攻击者通过T3, IIOP协议发送恶意请求，最终接管Oracle Oracle WebLogic Server。

CVE-2023-22067

详情：

Oracle Java SE (Standard Edition) 是由Oracle公司开发和发布的Java平台的标准版本。它提供了一组核心的Java类库和工具，用于开发和运行Java应用程序和applet。

未经身份验证的攻击者通过CORBA协议发送恶意请求，最终导致对Oracle Oracle Java SE可访问的关键数据的未授权访问。

CVE-2023-22025

详情：

Oracle Java SE (Standard Edition) 是由Oracle公司开发和发布的Java平台的标准版本。它提供了一组核心的Java类库和工具，用于开发和运行Java应用程序和applet。

Oracle GraalVM Enterprise Edition是一种高性能的、多语言的虚拟机，由Oracle公司开发。它支持Java、 JavaScript、 LLVM语言（如C和C++）和其他语言，可以提高程序性能和启动速度。

未经身份验证的攻击者通过多种协议发送恶意请求，最终导致对Oracle Oracle Java SE, Oracle GraalVM Enterprise Edition, Oracle GraalVM for JDK可访问的关键数据的未授权访问。