|
甲骨文本周发布季度关键补丁更新,其中包括总共443个新的安全修复程序。无需身份验证即可远程利用一半以上的已解决漏洞。 Oracle也来了个破纪录,不仅在补丁程序数量(第一个包含400多个修复程序)方面,而且在要解决的关键缺陷数量方面:大约有100个补丁程序处理的CVSS评分高于9个(大约70个,其CVSS评分为9.8或更高)。 这些安全漏洞中最严重的漏洞是Oracle SD-WAN Aware和SD-WAN Edge解决方案中的两个可远程利用的问题,分别被跟踪为CVE-2020-14701和CVE-2020-14606,其CVSS分数为10。 在SAP和Microsoft分别修复了一个此类错误之后,Oracle是本周第三次使用CVSS评分最高的漏洞修复软件供应商。 Oracle的通信应用程序本月收到的补丁程序数量最多,为60个,其中17个漏洞被评为紧急。Oracle在其通报中透露,经过修补的问题中有46个可以被未经身份验证的远程攻击者利用。 
许多固定的错误已潜伏在通信应用程序中多年了,其中最古老的错误已在2016年和2017年发现,尽管被认为是重大风险,但仍未修复。 本月,针对 Fusion中间件中的漏洞发布了52个补丁,其中48个问题无需身份验证即可远程利用。其中的一些缺陷是三年前报告的。 针对零售应用程序发布了许多补丁程序(47个修复程序,42个漏洞,无需身份验证即可远程利用),MySQL(40个补丁程序,6个可远程利用的漏洞),金融服务应用程序(38、26),电子商务套件(30, 24),虚拟化(25个修复程序,没有可远程利用的缺陷),供应链(22、18)以及建设与工程(20、15)。 收到少于20个修复程序的应用程序包括数据库服务器(19个补丁程序,1个无需身份验证即可远程利用的问题),企业管理器(14、10),Java SE(11、11),PeopleSoft(11、9),系统(7) ,1),JD Edwards(6、6),保险应用程序(6、4),Siebel CRM(5、5),健康科学应用程序(4、4),商业(4、3),GraalVM(4、3) ,食品和饮料应用程序(4,0),GoldenGate(3,1),Berkeley DB(3,0),Hyperion(3,0),酒店应用程序(1、1),iLearning(1、1),实用程序应用程序(1、1),全局生命周期管理(1、0)和TimesTen内存数据库(1、0)。 Oracle在其通报中指出,许多修补程序解决了受影响产品中的其他漏洞,固定安全漏洞的总数远远大于修补程序的数量。 此外,该公司强调了及时应用可用补丁的重要性,表明该公司继续收到有关先前已解决的,正在主动成为恶意攻击目标的缺陷的报告。 “ Oracle继续定期收到有关恶意利用漏洞的报告,Oracle已针对这些漏洞发布了安全补丁。在某些情况下,据报道攻击者成功了,因为目标客户未能应用可用的Oracle补丁。”
|
|
|
