Oracle 4月安全通告

简介: Oracle 4月安全通告

墨菲安全监测到 Oracle 发布了4月份重要补丁更新公告,此次公告发布了520个漏洞补丁。


下面列举Oracle Weblogic Server和Oracle Business Intelligence Enterprise Edition产品漏洞数量和无需身份验证即可远程利用数量情况:

影响产品数量 漏洞数量 无需身份验证即可远程利用数量
Oracle Weblogic Server   7      7
Oracle Business Intelligence Enterprise Edition 7 7

其中值得关注的漏洞如下:


CVE-2022-21420 —— 12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0版本下的Oracle Coherence允许未经身份验证的攻击者通过 T3 访问网络来破坏 Oracle Coherence,成功攻击此漏洞可导致 Oracle Coherence 被接管。受影响组件为Core,cvss评分为 9.8 。


CVE-2022-21431 —— 12.0.0.4 和 12.0.0.5版本下的Oracle Communications Billing and Revenue Management 允许未经身份验证的攻击者通过 TCP 进行网络访问,向受害者发送恶意请求,攻击成功将导致 Oracle Communications Billing and Revenue Management被接管。受影响组件为Connection Manager,cvss评分为 10.0 。


解决方案:


建议用户及时更新补丁,具体参考oracle官网发布的补丁,参考链接:


https://www.oracle.com/security-alerts/cpuapr2022.html


临时解决方案:


可以禁用T3和IIOP协议


参考链接:


https://nvd.nist.gov/vuln/detail/CVE-2022-21420

https://nvd.nist.gov/vuln/detail/CVE-2022-21431

https://www.oracle.com/security-alerts/

https://www.oracle.com/security-alerts/cpuapr2022.html


【使用墨菲安全的开源工具帮您快速检测代码安全】


墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。产品支持SaaS、私有化部署。公司核心团队来自百度、华为等企业,拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。

开源地址:https://github.com/murphysecurity/murphysec

产品官网:https://murphysec.com


IDE插件:欢迎在Jetbrains IDE插件市场搜索 “murphysec” 安装检测插件,一键检测一键修复~


【关于墨菲安全实验室】


墨菲安全实验室是墨菲未来科技旗下的安全研究团队,专注于软件供应链安全相关领域的技术研究,关注的方向包括:开源软件安全、程序分析、威胁情报分析、企业安全治理等。

相关文章
|
Oracle 安全 关系型数据库
Oracle学习(十四):管理用户安全
本文主要讲Oracle管理用户安全
120 0
Oracle学习(十四):管理用户安全
|
弹性计算 Oracle 网络协议
阿里云服务器Oracle开放1521端口教程(安全组配置)
在阿里云服务器上安装Oracle数据库,需要开放1521端口,在安全组设置即可开放云服务器1521端口
1484 0
阿里云服务器Oracle开放1521端口教程(安全组配置)
|
Oracle 关系型数据库 应用服务中间件
Oracle APEX 系列文章11:全站启用 HTTPS,让你的 APEX 更安全
目前主流的网站都要求 HTTPS 安全访问,Google Chrome 浏览器、微信内置浏览器打开非 HTTPS 的网页,都会提示不安全。如果做微信端开发,也是必须要 HTTPS 的网址才可以,可见 HTTPS 越来越重要了。
1959 0
|
安全 Oracle 关系型数据库