安全公告編號(hào):CNTA-2023-0002
2023年1月17日,Oracle發(fā)布了2023年1月份的安全更新,修復(fù)了其多款產(chǎn)品存在的327個(gè)安全漏洞。受影響的產(chǎn)品包括:Oracle Database Server數(shù)據(jù)庫(kù)(9個(gè))、Oracle Essbase(2個(gè))、Oracle GoldenGate(3個(gè))、Oracle TimesTen In-Memory Database(1個(gè))、Oracle Commerce(2個(gè))、Oracle Communications Applications(39個(gè))、Oracle Communications(79個(gè))、Oracle Construction and Engineering(7個(gè))、電子商務(wù)套裝軟件Oracle E-Business Suite(12個(gè))、Oracle Enterprise Manager(3個(gè))、Oracle Financial Services Applications(16個(gè))、Oracle Food and Beverage Applications(7個(gè))、中間件產(chǎn)品Fusion Middleware(50個(gè))、Oracle Health Sciences Applications(2個(gè))、Oracle HealthCare Applications(4個(gè))、Oracle Hospitality Applications(1個(gè))、Oracle Hyperion(2個(gè))、Oracle Insurance Applications(1個(gè))、Oracle Java SE(4個(gè))、Oracle JD Edwards(2個(gè))、Oracle MySQL數(shù)據(jù)庫(kù)(37個(gè))、Oracle PeopleSoft(12個(gè))、Oracle Retail Applications(1個(gè))、Oracle Siebel CRM(2個(gè))、Oracle Supply Chain(8個(gè))、Oracle Support Tools(6個(gè))、Oracle Systems(2個(gè))、Oracle Utilities Applications(7個(gè))和Oracle Virtualization(6個(gè))。
本次安全更新提供了針對(duì)217個(gè)高危漏洞的補(bǔ)丁,有300個(gè)漏洞可被遠(yuǎn)程利用。CNVD提醒廣大Oracle用戶,請(qǐng)及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的安全事件。
CVE編號(hào) |
公告標(biāo)題和摘要 |
最高嚴(yán)重等級(jí) |
受影響的軟件 |
CVE-2023-21839 |
Oracle WebLogic Server遠(yuǎn)程代碼執(zhí)行漏洞 未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過(guò)T3/IIOP協(xié)議網(wǎng)絡(luò)訪問(wèn)并破壞易受攻擊的WebLogic服務(wù)器,成功利用此漏洞可能導(dǎo)致Oracle WebLogic服務(wù)器被接管或敏感信息泄露。 |
重要 |
Oracle WebLogic Server 12.2.1.3.0 Oracle WebLogic Server 12.2.1.4.0 Oracle WebLogic Server 14.1.1.0.0 |
CVE-2023-21842 |
Oracle WebLogic Server信息泄露漏洞 未經(jīng)身份驗(yàn)證的攻擊者通過(guò)HTTP進(jìn)行網(wǎng)絡(luò)訪問(wèn),從而危及Oracle WebLogic Server。成功攻擊此漏洞可能導(dǎo)致對(duì)關(guān)鍵數(shù)據(jù)的未授權(quán)訪問(wèn)或?qū)λ?/span>Oracle WebLogic Server可訪問(wèn)數(shù)據(jù)的完全訪問(wèn)。 |
重要 |
Oracle WebLogic Server 12.2.1.3.0 Oracle WebLogic Server 12.2.1.4.0 Oracle WebLogic Server 14.1.1.0.0 |
CVE-2023-21837 |
Oracle WebLogic Server信息泄露漏洞 未經(jīng)身份驗(yàn)證的攻擊者通過(guò)IIOP進(jìn)行網(wǎng)絡(luò)訪問(wèn),從而危及Oracle WebLogic Server。成功攻擊此漏洞可能導(dǎo)致對(duì)關(guān)鍵數(shù)據(jù)的未授權(quán)訪問(wèn)或?qū)λ?/span>Oracle WebLogic Server可訪問(wèn)數(shù)據(jù)的完全訪問(wèn)。 |
重要 |
Oracle WebLogic Server 12.2.1.3.0 Oracle WebLogic Server 12.2.1.4.0 Oracle WebLogic Server 14.1.1.0.0 |
CVE-2023-21838 |
Oracle WebLogic Server拒絕服務(wù)漏洞 未經(jīng)身份驗(yàn)證的攻擊者通過(guò)T3、IIOP進(jìn)行網(wǎng)絡(luò)訪問(wèn),從而危及Oracle WebLogic Server。成功攻擊此漏洞可能導(dǎo)致未經(jīng)授權(quán)的Oracle WebLogic Server掛起或頻繁重復(fù)崩潰(完全DOS)。 |
重要 |
Oracle WebLogic Server 12.2.1.3.0 Oracle WebLogic Server 12.2.1.4.0 Oracle WebLogic Server 14.1.1.0.0 |
CVE-2023-21841 |
Oracle WebLogic Server信息泄露漏洞 未經(jīng)身份驗(yàn)證的攻擊者通過(guò)T3、IIOP進(jìn)行網(wǎng)絡(luò)訪問(wèn),從而危及Oracle WebLogic Server。成功攻擊此漏洞可能導(dǎo)致對(duì)關(guān)鍵數(shù)據(jù)的未授權(quán)訪問(wèn)或?qū)λ?/span>Oracle WebLogic Server可訪問(wèn)數(shù)據(jù)的完全訪問(wèn)。 |
重要 |
Oracle WebLogic Server 12.2.1.3.0 Oracle WebLogic Server 12.2.1.4.0 Oracle WebLogic Server 14.1.1.0.0 |
參考信息:
https://www.oracle.com/security-alerts/cpujan2023.html
------------------------------------------------------------
國(guó)家信息安全漏洞共享平臺(tái)(China National Vulnerability Database,簡(jiǎn)稱CNVD)是由國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(中文簡(jiǎn)稱國(guó)家互聯(lián)應(yīng)急中心,英文簡(jiǎn)稱CNCERT)聯(lián)合國(guó)內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運(yùn)營(yíng)商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的國(guó)家網(wǎng)絡(luò)安全漏洞庫(kù)。
在發(fā)布漏洞公告信息之前,CNVD都力爭(zhēng)保證每條公告的準(zhǔn)確性和可靠性。然而,采納和實(shí)施公告中的建議則完全由用戶自己決定,其可能引起的問(wèn)題和結(jié) 果也完全由用戶承擔(dān)。是否采納我們的建議取決于您個(gè)人或您企業(yè)的決策,您應(yīng)考慮其內(nèi)容是否符合您個(gè)人或您企業(yè)的安全策略和流程。
我們鼓勵(lì)所有計(jì)算機(jī)與網(wǎng)絡(luò)安全研究機(jī)構(gòu),包括廠商和科研院所,向我們報(bào)告貴單位所發(fā)現(xiàn)的漏洞信息。我們將對(duì)所有漏洞信息進(jìn)行驗(yàn)證并在CNCERT/CC網(wǎng)站和國(guó)家信息安全漏洞共享平臺(tái)(CNVD)公布漏洞信息及指導(dǎo)受影響用戶采取措施以避免損失。
