2020-07 补丁日：Oracle多个产品高危漏洞安全风险通告

 

0x01 事件简述

2020年07月15日，360CERT监测到Oracle官方发布了7月份的安全更新。

此次安全更新发布了443个漏洞补丁，其中Oracle Fusion Middleware有52个漏洞补丁更新，主要涵盖了Oracle Weblogic、Oracle Coherence、Oracle BI Publisher、Oracle Endeca Information Discovery Studio、Oracle Business Intelligence Enterprise Edition等产品。在本次更新的52个漏洞补丁中有48个漏洞无需身份验证即可远程利用。

对此，360CERT建议广大用户及时安装最新补丁，做好资产自查以及预防工作，以免遭受黑客攻击。

 

0x02 风险等级

360CERT对该事件的评定结果如下

评定方式	等级
威胁等级	高危
影响面	广泛

 

0x03 漏洞详情

Oracle WebLogic Server多个反序列化漏洞

Weblogic本次更新了多个反序列化漏洞，这些漏洞允许未经身份验证的攻击者通过IIOP、T3协议发送构造好的恶意请求，从而在Oracle WebLogic Server执行代码。严重漏洞编号如下：

• CVE-2020-14625
• CVE-2020-14644
• CVE-2020-14645
• CVE-2020-14687

Oracle Communications Applications（Oracle通信应用软件）多个严重漏洞

此重要补丁更新包含针对Oracle Communications Applications的60个新的安全补丁。其中的46个漏洞无需身份验证即可远程利用，即可以通过网络利用而无需用户凭据。严重漏洞编号如下：

• CVE-2020-14701
• CVE-2020-14606

Oracle E-Business Suite（Oracle电子商务套件）

此重要补丁更新包含针对Oracle E-Business Suite的30个新的安全补丁。其中的24个漏洞无需身份验证即可被远程利用，即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下：

• CVE-2020-14598
• CVE-2020-14599
• CVE-2020-14658
• CVE-2020-14665

Oracle Enterprise Manager（Oracle企业管理软件）

此重要补丁更新包含针对Oracle Enterprise Manager的14个新安全补丁。其中的10个漏洞无需身份验证即可远程利用，即可以通过网络利用而无需用户凭据。严重漏洞编号如下：

• CVE-2020-9546
• CVE-2020-1945
• CVE-2019-0227

Oracle Financial Services Applications（Oracle金融服务应用软件）

此重要补丁更新包含针对Oracle Financial Services应用程序的38个新的安全补丁。其中的26个漏洞无需身份验证即可远程利用，即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下：

• CVE-2019-13990
• CVE-2020-9546
• CVE-2019-2904
• CVE-2017-5645
• CVE-2017-15708
• CVE-2019-13990
• CVE-2019-13990
• CVE-2019-11358
• CVE-2020-1945
• CVE-2020-1945
• CVE-2020-1945

Oracle MySQL

此重要补丁更新包含40个针对Oracle MySQL的新安全补丁。其中的6个漏洞无需身份验证即可远程利用，即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下：

• CVE-2020-1938

Oracle Database Server

此重要补丁更新包含针对Oracle数据库服务器的19个新安全补丁。这些漏洞中的1个无需身份验证即可远程利用，即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下：

• CVE-2020-2968

 

0x04 修复建议

通用修补建议：

及时更新补丁，参考oracle官网发布的补丁:https://www.oracle.com/security-alerts/cpujul2020.html。

Weblogic 临时修补建议：

1. 如果不依赖T3协议进行JVM通信，禁用T3协议。
   • 进入WebLogic控制台，在base_domain配置页面中，进入安全选项卡页面，点击筛选器，配置筛选器。
   • 在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则框中输入 7001 deny t3 t3s保存生效。
   • 重启Weblogic项目，使配置生效。
2. 如果不依赖IIOP协议进行JVM通信，禁用IIOP协议。
   • 进入WebLogic控制台，在base_domain配置页面中，进入安全选项卡页面。
   • 选择“服务”->”AdminServer”->”协议”，取消“启用IIOP”的勾选。

• 重启Weblogic项目，使配置生效。

 

0x05 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段，对该类漏洞进行监测，请用户联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

 

0x06 时间线

2020-07-15 Oracle发布安全更新通告

2020-07-15 360CERT发布通告

 

0x07 参考链接

1. Oracle Critical Patch Update Advisory – July 2020