一、背景介绍

10月21日，市委网信办支撑单位监测到Oracle官方发布了多个关于Weblogic的未授权远程代码执行漏洞和其他常见产品的漏洞。

1.1漏洞描述

本次安全更新涉及广泛，共发布漏洞补丁 421 个，其中如下有8个安全漏洞影响较大，应特别关注。

CVE-2020-14882: Oracle WebLogic Server 安全漏洞

WebLogic Server 产品中存在一处安全漏洞。该漏洞允许未经身份验证的攻击者构造恶意数据并通过 http 协议发送给存在漏洞的WebLogic Server，从而对 WebLogic Server 进行破坏。成功攻击此漏洞可能会导致 Oracle WebLogic Server 被攻击者接管。本次漏洞对 10.3.6.0.0、 12.1.3.0.0、 12.2.1.3.0、 12.2.1.4.0、 14.1.1.0.0版本 WebLogic Server 造成影响。

CVE-2020-14841/ CVE-2020-14859/ CVE-2020-14820: Oracle WebLogic Server 安全漏洞

WebLogic Server 产品中存在一处安全漏洞。该漏洞允许未经身份验证的攻击者构造恶意数据并通过 IIOP 协议发送给存在漏洞的WebLogic Server，从而对 WebLogic Server 进行破坏。成功攻击此漏洞可能会导致 Oracle WebLogic Server 被攻击者接管。本次漏洞对 12.2.1.3.0、 12.2.1.4.0、 14.1.1.0.0 版本 WebLogic Server 造成影响。

CVE-2020-14825: Oracle WebLogic Server 安全漏洞

WebLogic Server 产品中存在一处安全漏洞。该漏洞允许未经身份验证的攻击者构造恶意数据并通过 IIOP T3 协议发送给存在漏洞的 WebLogic Server，从而对 WebLogic Server 进行破坏。成功攻击此漏洞可能会导致 Oracle WebLogic Server 被攻击者接管。本次漏洞对 12.2.1.3.0、 12.2.1.4.0、 14.1.1.0.0 版本 WebLogic Server造成影响。

CVE-2020-14871: Oracle Solaris 安全漏洞

Oracle Solaris 产品中存在一处安全漏洞。该漏洞允许未经身份验证的攻击者通过多种协议进行访问，从而危害 Oracle Solaris。尽管此漏洞位于 Oracle Solaris 中，但攻击可能会严重影响其他产品。成功利用此漏洞可能导致 Oracle Solaris 被攻击者接管。受影响的版本为 Oracle Solaris 10 以及 Oracle Solaris 11。

CVE-2020-1953: Oracle Healthcare Foundation 安全漏洞

Oracle Healthcare Foundation 产品中存在一处安全漏洞容易利用的漏洞。未经身份验证的攻击者可以通过 HTTP 发起攻击，从而破坏 Oracle Healthcare Foundation 。尽 管 此 漏 洞 位 于 Oracle Healthcare Foundation 中，但攻击可能会严重影响其他产品。成功攻击此漏洞可能导致 Oracle Healthcare Foundation 被攻击者接管。受影响的版本为 7.1.1、 7.2.0、 7.2.1、 7.3.0。

CVE-2020-8174: MySQL Cluster 安全漏洞

Oracle MySQL 的 MySQL Cluster 产品中存在一处安全漏洞。该漏洞允许未经身份验证的攻击者通过多种协议发起攻击，从而危害MySQL 群集。成功攻击此漏洞可能导致 MySQL 群集被攻击者接管。受影响的版本为 7.3.30 以及更低版本， 7.4.29 以及更高版本， 7.5.19
以及更高版本， 7.6.15 以及更高版本、 8.0.21 以及更高版本。

1.2漏洞编号

CVE-2020-14882、CVE-2020-14841/CVE-2020-14859/CVE-2020-14820 、CVE-2020-14825、CVE-2020-14871、CVE-2020-1953、CVE-2020-8174

1.3漏洞等级

高危

二、修复建议

目前Oracle 官方已经发布了解决此系列漏洞的补丁，建议受影响用户
尽快升级补丁

https://www.oracle.com/securityalerts/cpuoct2020traditional.html