Oracle2022年10月安全风险通告-洛阳师范学院信息化中心

一、背景介绍

10月19日，市委网信办技术支撑单位监测到Oracle 官方发布了 10 月重要补丁更新公告 CPU（Critical Patch Update），此次安全更新涉及Oracle旗下多个常用产品。建议尽快更新修复程序，对漏洞进行修复。

1.1漏洞描述

Oracle Fusion Middleware（CVE-2022-33980、CVE-2022-23943、CVE-2022-23305、CVE-2022-25315、CVE-2022-32532）：在未经用户身份验证的情况下即可远程进行利用，即无需用户凭据即可通过网络利用。

Oracle MySQL（CVE-2022-32207 、CVE-2022-31129、CVE-2022-35737、CVE-2022-21600）：在未经用户身份验证的情况下即可远程进行利用。

Oracle Insurance Applications（CVE-2022-25647、CVE-2020-36518）：在未经用户身份验证的情况下即可远程进行利用。攻击者可以通过 HTTP 访问网络发送恶意请求，从而控制产品中的组件进而对关键数据完全访问。

Oracle Communications Applications（CVE-2022-23632、CVE-2022-31813、CVE-2022-2068、CVE-2021-43527、CVE-2021-3918）：在未经用户身份验证的情况下即可远程进行利用。

Oracle E-Business Suite（CVE-2022-23305、CVE-2022-21587、CVE-2022-39428）：在未经用户身份验证的情况下即可远程进行利用。攻击者可以通过 HTTP 访问网络，从而破坏套件中的产品，从而对关键数据的未授权访问或对所有套件中产品可访问数据的完全访问。

Oracle Retail Applications（CVE-2022-23305、CVE-2021-28490、CVE-2021-43859、CVE-2022-25647、CVE-2022-2048）：在未经用户身份验证的情况下即可远程进行利用。

1.2漏洞编号

CVE-2022-33980

CVE-2022-23943

CVE-2022-23305

CVE-2022-25315

CVE-2022-32532

CVE-2022-32207

CVE-2022-31129

CVE-2022-35737

CVE-2022-21600

CVE-2022-23457

CVE-2022-25647

CVE-2022-31129

CVE-2022-23181

CVE-2022-25647

CVE-2020-36518

CVE-2022-23632

CVE-2022-31813

CVE-2022-2068

CVE-2021-43527

CVE-2021-3918

CVE-2022-23305

CVE-2022-21587

CVE-2022-39428

CVE-2022-23305

CVE-2021-28490

CVE-2021-43859

CVE-2022-25647

CVE-2022-2048

1.3漏洞等级

高危

二、修复建议

2.1受影响版本：

Oracle Access Manager, versions 12.2.1.3.0, 12.2.1.4.0

MySQL Enterprise Backup, versions 4.1.4 and prior、MySQL Enterprise Monitor , versions 8.0.31 and prior、MySQL Workbench , versions 8.0.30 and prior、MySQL Server, versions 8.0.27 and prior

Oracle Documaker Enterprise Edition, versions 12.6-12.7

Oracle Communications Order and Service Management,versions 7.4、Oracle Communications Unified Assurance ,versions Prior to 5.5.7.0.0, 6.0.0.0.0、Oracle Communications Messaging Server, versions 8.1、Oracle Communications Unified Assurance , versions Prior to 5.5.7.0.0, 6.0.0.0.0、Oracle Communications Unified Assurance, versions Prior to 5.5.7.0.0, 6.0.0.0.0

Oracle E-Business Suite, versions 12.2.3-12.2.11

Oracle Retail Fiscal Management, versions 14.2、Oracle Retail Customer Management and Segmentation Foundation , versions 18.0, 19.0、Oracle Retail Customer Insights, versions 15.0.2, 16.0.2、Oracle Retail Customer Management and Segmentation Foundation , versions 17.0, 18.0, 19.0、Oracle Retail EFTLink , versions 20.0.1, 21.0.0

2.2修复建议

Oracle官方已经发布安全补丁，建议用户尽快更新修复程序，对漏洞进行修复，相关链接如下：https://www.oracle.com/security-alerts/cpuoct2022.html