关于Oracle存在多个高危漏洞的预警通报

近日，Oracle官方发布关键补丁公告，更新修复297个不同程度安全漏洞。其中包含OracleCommunications Unified InventoryManagement（统一库存管理）、OracleWebLogic Server、OracleJava SE等常用Oracle产品的高危漏洞。

一、漏洞情况

WebLogicServer是美国甲骨文（Oracle）公司开发的一款适用于云环境和传统环境的应用服务中间件，它提供了一个现代轻型开发平台，支持应用从开发到生产的全生命周期管理并简化了应用的部署和管理。Oracle官方发布修复公告包含：

（一）CVE-2018-1258:该漏洞允许攻击者通过HTTP网络协议在低权限认证前提下破坏OracleCommunications Unified Inventory Management。成功攻击可能导致OracleCommunications Unified Inventory Management被接管。

（二）CVE-2019-2615:该漏洞允许攻击者通过HTTP网络协议在高权限认证前提下破坏Oracle WebLogic Server。成功攻击可能导致未经授权访问关键数据或完全访问所有Oracle WebLogic Server可访问的数据。

（三）CVE-2019-2618:该漏洞允许攻击者通过HTTP网络协议在高权限认证前提下破坏OracleWebLogic Server。成功攻击可能导致未经授权访问关键数据或完全访问所有OracleWebLogic Server可访问的数据及未经授权更新、插入或删除某些Oracle WebLogic Server可访问的数据。

（四）CVE-2019-2645:此该漏洞允许攻击者通过T3网络协议在未经身份认证的前提下破坏OracleWebLogic Server。成功攻击可能导致OracleWebLogic Server被接管。

（五）CVE-2019-2646:该漏洞允许攻击者通过T3网络协议在未经身份认证的前提下破坏OracleWebLogic Server。成功攻击可能导致OracleWebLogic Server被接管。

（六）CVE-2019-2647:该漏洞允许攻击者通过HTTP网络协议在未经身份认证的前提下破坏OracleWebLogic Server。成功攻击可能导致未经授权访问关键数据或完全访问所有Oracle WebLogic Server可访问的数据。

（七）CVE-2019-2648:该漏洞允许攻击者通过HTTP网络协议在未经身份认证前提下破坏OracleWebLogic Server。成功攻击可能导致未经授权访问关键数据或完全访问所有OracleWebLogic Server可访问的数据。

（八）CVE-2019-2649:该漏洞允许攻击者通过HTTP网络协议在未经身份认证的前提下破坏Oracle WebLogic Server。成功攻击可能导致未经授权访问关键数据或完全访问所有Oracle WebLogic Server可访问的数据。

（九）CVE-2019-2650：该漏洞允许攻击者通过HTTP网络协议在未经身份认证的前提下破坏Oracle WebLogic Server。成功攻击可能导致未经授权访问关键数据或完全访问所有Oracle WebLogic Server可访问的数据。

（十）CVE-2019-2658：该漏洞允许攻击者通过HTTP网络协议在未经身份认证的前提下破坏OracleWebLogic Server。成功攻击可能导致Oracle WebLogic Server被接管。

（十一）CVE-2019-2568：该漏洞允许攻击者通过HTTP网络协议在低权限认证的前提下破坏Oracle WebLogic Server。成功攻击可能导致未经授权更新、插入或删除某些Oracle WebLogic Server可访问数据。

（十二）CVE-2019-2699：该漏洞允许攻击者通过多种网络协议在未经身份认证的前提下破坏JavaSE，攻击者也可以使用此漏洞影响其他产品。

二、影响范围

（一）CVE-2018-1258：OracleCommunications Unified Inventory Management 7.3.2, 7.3.4, 7.3.5,7.4.0；

（二）CVE-2019-2615、CVE-2019-2618、CVE-2019-2645、CVE-2019-2646、CVE-2019-2647、CVE-2019-2648、CVE-2019-2649、CVE-2019-2650、CVE-2019-2658、CVE-2019-2568：OracleWebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0

（三）CVE-2019-2699：Java SE 8u202。

三、处置建议

Oracle官方已推出安全更新，请广大用户及时进行更新修复。

附件：补丁链接:

https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html