Oracle发布了2018年10月的季度关键补丁更新,其中包含针对300多种不同漏洞的安全修复程序,其中许多漏洞无需身份验证即可远程利用。
此外,Oracle的关键补丁更新(Critical Patch Updates)通常是针对Oracle软件产品的大量安全修复程序集,旨在使拥有有效支持合同的客户能够快速更新其系统。
Oracle在最接近1月,4月,7月和10月的第17天的星期二发布它们,它将接下来的4个关键补丁更新日期设置为2019年1月15日,2019年4月16日,2019年7月16日和2019年10月15日。
Oracle 2018年10月关键补丁更新中,基准得分最高的缺陷是CVE-2018-2913,它影响了Oracle GoldenGate的监视管理器子组件,并允许未经身份验证的攻击者通过TCP连接远程利用漏洞。
风险评级如此之高,因为虽然此安全问题仅影响Oracle GoldenGate实时数据集成和复制包,但成功的攻击可能会导致破坏安装在受感染计算机上的其他软件产品。
监控管理器组件中的Oracle GoldenGate漏洞是唯一一个具有完美10风险等级的漏洞
“由于成功攻击带来的威胁,Oracle强烈建议客户尽快应用关键补丁更新修复程序,”Oracle的咨询报告称。 “在应用关键补丁更新修复程序之前,可以通过阻止攻击所需的网络协议来降低成功攻击的风险。”
Oracle的2018年10月关键补丁更新解决了101种软件产品中的安全漏洞,包括Java平台,Solaris OS,MySQL服务器和VM VirtualBox等知名企业,以及Oracle Banking Platform,Oracle API等更为模糊的软件产品。 Gateway和Oracle WebCenter Portal仅举几例。
“Oracle继续定期收到有关企图恶意利用Oracle已发布修复程序的漏洞的报告,”Oracle表示。 “在某些情况下,据报道攻击者已经成功,因为目标客户未能应用可用的Oracle补丁。”
此外,“因此,Oracle强烈建议客户继续使用积极支持的版本,并立即应用关键补丁更新修复程序。”
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx