Oracle 重要补丁更新说明
Oracle重要补丁更新是 Oracle 产品的安全修复集合。具有有效支持合同的客户可以使用它们。从 2022 年 4 月开始,重要补丁更新将在 1 月、4 月、7 月和 10 月的第三个星期二发布(之前发布的时间是最接近 1 月、4 月、7 月和 10 月的第 17 天的星期二)。接下来的四个日期是:
2022 年 7 月 19 日
2022 年 10 月 18 日
2023 年 1 月 17 日
2023 年 4 月 18 日
补丁更新简述
北京时间2022年4月20日,Oracle发布2022年4月重要补丁更新,此重要补丁更新包含下列产品系列的 520 个新安全补丁,修复了包括Oracle Weblogic Server、Oracle Access Manager、Oracle Business Intelligence Enterprise Edition、Oracle Business Activity Monitoring 等产品在内的多个高危漏洞。
部分高危漏洞详情
Oracle Weblogic Server多个漏洞
Weblogic本次更新了多个漏洞,这些漏洞允许未经身份验证的攻击者通过HTTP或T3协议发送构造好的恶意请求,从而在Oracle WebLogic Server执行代码或窃取关键数据。严重漏洞编号如下:
CVE-2022-23305:未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管服务器,评分9.8
CVE-2022-21420:未经身份验证的攻击者通过T3协议发送恶意请求,最终接管服务器,评分9.8
Oracle Communications 多个严重漏洞
此重要补丁更新包含针对Oracle Communications 的39个新的安全补丁。其中的22个漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:
CVE-2022-21431: 未经身份验证的攻击者通过TCP协议发送恶意请求,最终接管Oracle Communications Billing and Revenue Management,评分10.0
CVE-2022-23990: 未经身份验证的攻击者通过HTTP协议发送恶意请求,经过用户交互后,最终接管Oracle Communications MetaSolv Solution,评分9.8
Oracle Financial Services Applications 多个严重漏洞
此重要补丁更新包含针对Oracle Financial Services Applications的41个新的安全补丁。其中的19个漏洞无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:
CVE-2022-22965:未经身份验证的攻击者可以通过HTTP发送恶意请求,最终接管Oracle Financial Services Analytical Applications Infrastructure,评分9.8
CVE-2021-2351:未经过身份验证的攻击者可以通过Oracle Net发送恶意请求,最终接管Oracle Banking Enterprise Default Management,评分8.3
Oracle Communications Applications 多个严重漏洞
此重要补丁更新包含针对Oracle Communications Applications 的39个新的安全补丁。其中的22个漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:
CVE-2020-13936:未经身份验证的攻击者可以通过HTTP发送恶意请求,最终接管Oracle Communications Network Integrity,评分8.8
CVE-2022-21430:未经身份验证的攻击者可以通过TCP发送恶意请求,最终接管Oracle Communications Billing and Revenue Management,评分8.5
漏洞修复建议
查询Oracle补丁更新说明,自行安装补丁程序。
https://www.oracle.com/security-alerts/cpuapr2022.html
参考链接
https://www.oracle.com/security-alerts/cpuapr2022.html
https://cert.360.cn/warning/detail?id=4e6912c7385b6495b3b4e17f8c0d8a13
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...