1. 主页
  2. 保安警报
  3. 保安警报 (A20-10-06)

高危保安警报 (A20-10-06): Oracle Java 及 Oracle 产品多个漏洞 (2020年10月)


 

发布日期: 2020年 10月 21日

最後更新: 2020年 11月 4日

  
  

描述:

Oracle 发布了重要修补程式更新公告,包括一系列应对 Java SE 和不同 Oracle 产品中多个漏洞的安全修补程式。有关安全性更新的列表,请参考以下网址:

https://www.oracle.com/security-alerts/cpuoct2020.html

Oracle 发布了有关超出范围 (out-of-band) 的安全性更新以应对 Oracle WebLogic server 中另一远端执行程式码漏洞 (CVE-2020-14750) 。针对此漏洞 (CVE-2020-14750) 的概念验证已被公开。系统管理员应立即为受影响的系统安装修补程式,以减低受到网络攻击的风险。

有报告观察到针对 Oracle WebLogic server 的远端执行程式码严重漏洞(CVE-2020-14882)。鉴于网络攻击的风险较高,系统管理员应优先考虑立即为这特定的漏洞安装修补程式。

在安装修补程式前,系统管理员应确保管理员入门网页(TCP埠号预设为7001)不暴露于互联网,并继续阻止不受信任网络接达至管理员入门网页,覆检应用系统的记录中是否存有可疑的HTTP查询,包括字符重复编码的探访路径(double-encoded path traversal) 「%252E%252E%252F」至管理员入门网页,并监察应用系统所产的任何可疑程序。

 

受影响的系统:

  • Oracle Java SE
  • OpenJDK
  • Database
  • Oracle Linux and Virtualization
  • Oracle MySQL Product Suite
  • Oracle and Sun Systems Products Suite
  • Fusion Applications and Middleware

有关受影响产品的完整列表,请参阅以下连结:
https://www.oracle.com/security-alerts/cpuoct2020.html

 

影响:

成功攻击这些漏洞可导致服务受阻断、数据篡改、泄漏资讯、终止系统执行或控制受影响的系统,视乎攻击者利用哪个漏洞而定。

 

建议:

现已有适用于受影响系统的修补程式。受影响系统的用户应遵从产品供应商的建议,立即采取行动以降低风险。

Oracle Java SE 产品的修补程式可从以下连结下载:

  • Java Platform SE 8u271 (JDK 及 JRE)
  • Java Platform SE 11.0.9 (JDK 及 JRE)
  • Java Platform SE 15.0.1 (JDK 及 JRE)

https://www.oracle.com/java/technologies/javase-downloads.html

OpenJDK 的修补程式可从以下连结下载:
https://jdk.java.net/

用户也可通过以下保安公告,以获取有关其他 Oracle 产品安全更新的资讯。
https://www.oracle.com/security-alerts/cpuoct2020.html

用户可联络其产品支援供应商,以取得修补程式及有关支援。

 

进一步信息:

https://www.oracle.com/security-alerts/alert-cve-2020-14750.html
https://us-cert.cisa.gov/ncas/current-activity/2020/11/02/oracle-releases-out-band-security-alert
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14750
https://blog.rapid7.com/2020/10/29/oracle-weblogic-unauthenticated-complete-takeover-cve-2020-14882-what-you-need-to-know/
https://twitter.com/testanull/status/1321390624042442753
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/java/technologies/javase/8u271-relnotes.html
https://www.oracle.com/java/technologies/javase/11-0-9-relnotes.html
https://www.oracle.com/java/technologies/javase/15-0-1-relnotes.html
https://openjdk.java.net/groups/vulnerability/advisories/2020-10-20
https://www.hkcert.org/my_url/zh/alert/20102103
https://us-cert.cisa.gov/ncas/current-activity/2020/10/20/oracle-releases-october-2020-security-bulletin-0
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1832
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-9251
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2510
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5725
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1000031
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5645
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7658
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9096
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9800
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12626
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3693
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7489
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8013
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8088
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11058
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17196
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20843
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0192
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0201
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1547
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2897
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2904
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3740
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5482
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10072
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10097
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10173
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10247
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10744
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11048
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11358
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11477
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11922
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12260
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12402
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12415
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12900
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13990
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16335
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16943
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17091
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17267
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17359
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17495
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17531
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17543
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17558
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17638
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1010239
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1730
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1938
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1941
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1945
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1951
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1953
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1954
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1967
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2555
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3235
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3909
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4051
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5398
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5408
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8174
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9281
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9410
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9484
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9488
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9489
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9546
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10683
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10722
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10878
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11022
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11023
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11080
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11973
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11984
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13631
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13935
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14195
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14672
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14731
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14732
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14734 (to CVE-2020-14736)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14740 (to CVE-2020-14746)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14752 (to CVE-2020-14754)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14757 (to CVE-2020-14873)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14875 (to CVE-2020-14901)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15389

 



标签 : Oracle , Java , OpenJDK , Oracle Database , Oracle Linux , MySQL , Sun Systems , Fusion
标签