【威胁通告】Oracle全系产品10月重要补丁更新通告
2021-10-21
一. 漏洞概述
2021年10月20日,bbin宝盈集团科技监测发现Oracle官方发布了10月重要补丁更新公告CPU(Critical Patch Update),此次共修复了419个不同程度的漏洞,此次安全更新涉及Oracle MySQL、Oracle Weblogic Server、Oracle Java SE、Oracle FusionMiddleware、Oracle Retail Applications等多个常用产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。
参考链接:
http://www.oracle.com/security-alerts/cpuoct2021.html
二. 重点漏洞简述
根据产品流行度和漏洞重要性筛选出此次更新中包含影响较大的漏洞,请相关用户重点进行关注:
Oracle MySQL多个漏洞:
此次安全更新针对Oracle MySQL发布了66个安全补丁, 其中的10个漏洞在未经用户身份验证的情况下即可远程进行利用,即无需用户凭据即可通过网络利用。漏洞编号如下:
CVE-2021-22931
CVE-2021-3711
CVE-2021-3518
CVE-2021-22926
CVE-2021-36222
CVE-2021-35583
CVE-2021-3712
CVE-2021-33037
CVE-2021-29425
CVE-2021-35613
Oracle Financial Services Applications多个漏洞:
此次安全更新针对Oracle Financial Services Applications发布了44个安全补丁。其中的26个漏洞在未经用户身份验证的情况下即可远程进行利用。高危漏洞编号如下:
CVE-2020-5413
CVE-2020-10683
CVE-2021-21345
Oracle Insurance Applications多个漏洞:
此次安全更新针对Oracle Insurance Applications发布了16个安全补丁。其中的11个漏洞在未经用户身份验证的情况下即可远程进行利用。攻击者可以通过HTTP访问网络发送恶意请求,从而控制产品中的组件进而对关键数据完全访问。严重漏洞编号如下:
CVE-2016-1000031
CVE-2019-13990CVE-2020-10683CVE-2019-17195 Oracle Communications多个漏洞:
此次安全更新针对Oracle Communications发布了71个安全补丁,其中的56个漏洞在未经用户身份验证的情况下即可远程进行利用。高危漏洞编号如下:
CVE-2021-21345
CVE-2021-21783
CVE-2017-9841
CVE-2021-21783
CVE-2021-11998
CVE-2021-17530
CVE-2021-23017
Oracle Fusion Middleware多个漏洞:
此次安全更新针对Oracle Fusion Middleware发布了38个安全补丁。其中有30个漏洞在未经用户身份验证的情况下即可远程进行利用。高危漏洞编号如下:
CVE-2019-13990
CVE-2018-8088
CVE-2021-35617
Oracle Retail Applications多个漏洞:
此次安全更新针对Oracle Retail Applications发布了26个安全补丁。其中有9个漏洞在未经用户身份验证的情况下即可远程进行利用。高危漏洞编号如下:
CVE-2021-2351
Oracle官方10月关键补丁更新漏洞总结如下:
产品 |
漏洞个数 |
未授权远程利用个数 |
最高CVSS评分 |
Oracle Database Products Risk Matrices |
9 |
2 |
8.2 |
Oracle Database Server |
9 |
2 |
8.2 |
Oracle Essbase |
5 |
3 |
10 |
Oracle GoldenGate |
1 |
1 |
6.5 |
Oracle Graph Server and Client |
1 |
1 |
7.5 |
Oracle REST Data Services |
1 |
1 |
7.5 |
Oracle Secure Backup |
1 |
1 |
7.4 |
Oracle Commerce |
2 |
0 |
5.4 |
Oracle Communications Applications |
19 |
14 |
9.8 |
Oracle Communications |
71 |
56 |
9.9 |
Oracle Construction and Engineering |
12 |
7 |
9.8 |
Oracle E-Business Suite |
18 |
4 |
8.1 |
Oracle Enterprise Manager |
8 |
5 |
9.8 |
Oracle Financial Services Applications |
44 |
26 |
9.9 |
Oracle Fusion Middleware |
38 |
30 |
9.8 |
Oracle Health Sciences Applications |
6 |
3 |
9.8 |
Oracle Hospitality Applications |
1 |
1 |
6.1 |
Oracle Hyperion |
6 |
5 |
6.1 |
Oracle Insurance Applications |
16 |
11 |
9.8 |
Oracle Java SE |
15 |
13 |
8.6 |
Oracle JD Edwards |
11 |
8 |
7.5 |
Oracle MySQL |
66 |
10 |
9.8 |
Oracle PeopleSoft |
17 |
8 |
9.1 |
Oracle Retail Applications |
26 |
9 |
8.3 |
Oracle Siebel CRM |
6 |
5 |
7.5 |
Oracle Supply Chain |
5 |
3 |
7.5 |
Oracle Systems |
5 |
2 |
9.8 |
Oracle Utilities Applications |
1 |
0 |
5.5 |
Oracle Virtualization |
8 |
1 |
7.8 |
三. 漏洞防护
请用户参考本文附录“受影响产品及补丁信息”及时下载受影响产品更新补丁,并参照补丁安装包中的readme文件进行安装更新,以保证长期有效的防护。
注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆http://support.oracle.com后,可以下载最新补丁。