1. 主頁
  2. 保安警報
  3. 保安警報 (A20-10-06)

高危保安警報 (A20-10-06): Oracle Java 及 Oracle 產品多個漏洞 (2020年10月)


 

發布日期: 2020年 10月 21日

最後更新: 2020年 11月 4日

  
  

描述:

Oracle 發布了重要修補程式更新公告,包括一系列應對 Java SE 和不同 Oracle 產品中多個漏洞的安全修補程式。有關安全性更新的列表,請參考以下網址:

https://www.oracle.com/security-alerts/cpuoct2020.html

Oracle 發布了有關超出範圍 (out-of-band) 的安全性更新以應對 Oracle WebLogic server 中另一遠端執行程式碼漏洞 (CVE-2020-14750) 。針對此漏洞 (CVE-2020-14750) 的概念驗證已被公開。系統管理員應立即為受影響的系統安裝修補程式,以減低受到網絡攻擊的風險。

有報告觀察到針對 Oracle WebLogic server 的遠端執行程式碼嚴重漏洞(CVE-2020-14882)。鑑於網絡攻擊的風險較高,系統管理員應優先考慮立即為這特定的漏洞安裝修補程式。

在安裝修補程式前,系統管理員應確保管理員入門網頁(TCP埠號預設為7001)不暴露於互聯網,並繼續阻止不受信任網絡接達至管理員入門網頁,覆檢應用系統的記錄中是否存有可疑的HTTP查詢,包括字符重複編碼的探訪路徑(double-encoded path traversal) 「%252E%252E%252F」至管理員入門網頁,並監察應用系統所產的任何可疑程序。

 

受影響的系統:

  • Oracle Java SE
  • OpenJDK
  • Database
  • Oracle Linux and Virtualization
  • Oracle MySQL Product Suite
  • Oracle and Sun Systems Products Suite
  • Fusion Applications and Middleware

有關受影響產品的完整列表,請參閱以下連結:
https://www.oracle.com/security-alerts/cpuoct2020.html

 

影響:

成功攻擊這些漏洞可導致服務受阻斷、數據篡改、泄漏資訊、終止系統執行或控制受影響的系統,視乎攻擊者利用哪個漏洞而定。

 

建議:

現已有適用於受影響系統的修補程式。受影響系統的用戶應遵從產品供應商的建議,立即採取行動以降低風險。

Oracle Java SE 產品的修補程式可從以下連結下載:

  • Java Platform SE 8u271 (JDK 及 JRE)
  • Java Platform SE 11.0.9 (JDK 及 JRE)
  • Java Platform SE 15.0.1 (JDK 及 JRE)

https://www.oracle.com/java/technologies/javase-downloads.html

OpenJDK 的修補程式可從以下連結下載:
https://jdk.java.net/

用戶也可通過以下保安公告,以獲取有關其他 Oracle 產品安全更新的資訊。
https://www.oracle.com/security-alerts/cpuoct2020.html

用戶可聯絡其產品支援供應商,以取得修補程式及有關支援。

 

進一步資訊:

https://www.oracle.com/security-alerts/alert-cve-2020-14750.html
https://us-cert.cisa.gov/ncas/current-activity/2020/11/02/oracle-releases-out-band-security-alert
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14750
https://blog.rapid7.com/2020/10/29/oracle-weblogic-unauthenticated-complete-takeover-cve-2020-14882-what-you-need-to-know/
https://twitter.com/testanull/status/1321390624042442753
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/java/technologies/javase/8u271-relnotes.html
https://www.oracle.com/java/technologies/javase/11-0-9-relnotes.html
https://www.oracle.com/java/technologies/javase/15-0-1-relnotes.html
https://openjdk.java.net/groups/vulnerability/advisories/2020-10-20
https://www.hkcert.org/my_url/zh/alert/20102103
https://us-cert.cisa.gov/ncas/current-activity/2020/10/20/oracle-releases-october-2020-security-bulletin-0
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1832
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-9251
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2510
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5725
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1000031
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5645
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7658
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9096
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9800
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12626
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3693
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7489
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8013
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8088
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11058
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17196
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20843
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0192
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0201
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1547
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2897
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2904
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3740
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5482
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10072
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10097
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10173
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10247
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10744
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11048
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11358
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11477
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11922
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12260
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12402
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12415
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12900
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13990
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16335
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16943
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17091
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17267
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17359
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17495
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17531
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17543
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17558
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17638
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1010239
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1730
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1938
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1941
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1945
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1951
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1953
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1954
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1967
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2555
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3235
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3909
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4051
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5398
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5408
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8174
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9281
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9410
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9484
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9488
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9489
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9546
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10683
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10722
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10878
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11022
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11023
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11080
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11973
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11984
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13631
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13935
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14195
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14672
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14731
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14732
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14734 (to CVE-2020-14736)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14740 (to CVE-2020-14746)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14752 (to CVE-2020-14754)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14757 (to CVE-2020-14873)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14875 (to CVE-2020-14901)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15389

 



標籤 : Oracle , Java , OpenJDK , Oracle Database , Oracle Linux , MySQL , Sun Systems , Fusion
標籤