2023-10 补丁日: Oracle多个产品漏洞安全风险通告

原创
2023/10/19 17:38
阅读数 40


赶紧点击上方话题进行订阅吧!

报告编号:CERT-R-2023-472

报告来源:360CERT

报告作者:360CERT

更新日期:2023-10-19


1
 漏洞简述



2023年10月19日,360CERT监测发现Oracle发布了2023年10月份的风险通告,事件等级:严重,事件评分:10

此次安全更新发布了387个漏洞补丁,其中Oracle Fusion Middleware有46个漏洞补丁更新,主要涵盖了Oracle Enterprise Data Quality、Oracle WebLogic Server、Oracle WebCenter Portal、Oracle Business Process Management Suite、Oracle HTTP Server、Oracle WebCenter Portal等产品。在本次更新的46个漏洞补丁中,有35个漏洞无需身份验证即可远程利用。

对此,360CERT建议广大用户及时请做好资产自查以及预防工作,以免遭受黑客攻击。


2
 风险等级



360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛
攻击者价值
利用难度
360CERT评分 10

3
 漏洞详情



Oracle Communications 多个严重漏洞

此重要补丁更新包含针对Oracle Communications 的91个新的安全补丁。其中的60个漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:

- CVE-2023-34034: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Oracle Communications Cloud Native Core Binding Support Function、Oracle Communications Cloud Native Core Network Exposure Function、Oracle Communications Cloud Native Core Network Repository Function、Oracle Communications Cloud Native Core Policy、Oracle Communications Cloud Native Core Security Edge Protection Proxy,评分9.8

- CVE-2023-38408: 未经身份验证的攻击者通过HTTPS协议发送恶意请求,最终接管Oracle Communications Cloud Native Core Binding Support Function、Oracle Communications Diameter Signaling Router、Oracle Communications Policy Management、Oracle Enterprise Operations Monitor,评分9.8

- CVE-2023-3824: 未经身份验证的攻击者通过HTTPS协议发送恶意请求,最终接管Oracle Communications Diameter Signaling Router,评分9.8

- CVE-2022-42920: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Oracle Communications MetaSolv Solution、Oracle Communications Order and Service Management、Oracle Communications Policy Management、Oracle WebCenter Portal,评分9.8

Oracle Fusion Middleware 多个严重漏洞

此重要补丁更新包含针对Oracle Communications 的46个新的安全补丁。其中的35个漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:

- CVE-2023-22089: 未经身份验证的攻击者通过T3、IIOP协议发送恶意请求,最终接管Oracle WebLogic Server,评分9.8

- CVE-2022-42920: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Oracle Enterprise Data Quality、Oracle WebCenter Portal、Oracle WebLogic Server,评分9.8

- CVE-2023-39022: 未经身份验证的攻击者通过HTTP协议发送恶意请求,最终接管Oracle WebCenter Portal,评分9.8

- CVE-2023-22069: 未经身份验证的攻击者通过T3、IIOP协议发送恶意请求,最终接管Oracle WebLogic Server,评分9.8

Oracle MySQL 多个严重漏洞

此重要补丁更新包含针对Oracle Communications 的37个新的安全补丁。其中的9个漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:

- CVE-2023-34034: 未经身份验证的攻击者通过多个协议发送恶意请求,最终接管MySQL Enterprise Monitor,评分9.8

- CVE-2022-42898: 经过身份验证的攻击者通过多个协议发送恶意请求,最终接管MySQL Cluster,评分8.8

- CVE-2023-22102: 未经身份验证的攻击者通过多个协议发送恶意请求,最终接管MySQL Protocol,评分8.3

- CVE-2023-38545: 未经身份验证的攻击者通过MySQL Protocol发送恶意请求,最终接管MySQL Server,评分7.5


4
 修复建议



通用修补建议

及时更新补丁,参考oracle官网发布的补丁:

https://www.oracle.com/security-alerts/cpuoct2023.html

https://www.oracle.com/security-alerts/cpuoct2023.html


5
 产品侧解决方案



若想了解更多产品信息或有相关业务需求,可移步至http://360.net。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360终端安全管理系统

360终端安全管理系统在360安全大脑极智赋能下,以云计算、大数据、人工智能等新技术为支撑,是面向企业级客户提供端点安全(EPP)、主机安全(CDR\CWPP)、高级威胁检测与响应(EDR)等各类能力和功能的同一平台管理产品。

创新领先的场景化管理方式,对勒索防护、挖矿防护、HW对抗、重大事件保障、APT防护、等保合规、数据安全防护等场景实现高效的终端安全运营管理。


6
 时间线



2023年10月18日 Oracle官方发布通告

2023年10月19日 360CERT发布通告


7
 参考链接



https://www.oracle.com/security-alerts/cpuoct2023.html


8
 特制报告相关说明



一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。


360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们


点击在看,进行分享

本文分享自微信公众号 - 三六零CERT(CERT-360)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部