به‌روز رسانی بحرانی برای مجموعه‌ای از آسیب‌پذیری‌های امنیتی محصولات اوراکل منتشر شده است. این وصله‌ها یکجا منتشر می‌شوند و برای هر وصله‌امنیتی توضیحات تخصصی و راهنما ارایه و به آن اضافه شده است.

شرکت Oracle مرتبا گزارش‌هایی را مبتنی بر تلاش‌هایی برای اکسپلویت آسیب‌پذیری هایی که برای آن‌ها به‌روز رسانی منتشر کرده است دریافت می‌کند. به عنوان مثال حمله موفق به برخی مشتریان انجام شده است که نتوانستند وصله به‌روز رسانی امنیتی محصول خود را نصب کنند. Oracle بصوت جدی توصیه کرده است که مشتریان از نسخه‌های که Oracle پشتیبانی می‌کند استفاده کنند و به روزرسانی های امنیتی را نصب نمایند.

شناسه آسیب‌پذیری:

CVE-2020-2961, CVE-2020-2953, CVE-2020-2931, CVE-2020-2950, CVE-2020-2915, CVE-2020-2884, CVE-2020-2883, CVE-2020-2801, CVE-2020-2791, CVE-2020-2733

سطح ریسک:

For all vulnerabilities:

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Base Score: 9.8 Critical

نسخه‌های آسیب‌پذیر:

CVE-2020-2961: Oracle Enterprise Manage 13.2.0.0 to 13.3.0.0

CVE-2020-2953: Oracle Retail Applications 18.0

CVE-2020-2931: Oracle Knowledge 8.6.0-8.6.3

CVE-2020-2950: Oracle Business Intelligence Enterprise Edition 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 and 12.2.1.4.0

CVE-2020-2915: Oracle Coherence 3.7.1.0, 12.1.3.0.0, 12.2.1.3.0 and 12.2.1.4.0

CVE-2020-2884, CVE-2020-2883, CVE-2020-2801: Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 and 12.2.1.4.0

CVE-2020-2791: Oracle Knowledge 8.6.0-8.6.3

CVE-2020-2733: JD Edwards EnterpriseOne Tools9.2

نیازمندی تعامل کاربر: خیر

سال شناسایی: ۲۰۲۰

توضیحات:

آسیب‌پذیری‌ها در محصولات Oracle وجود دارد که به حمله کننده بدون احراز هویت اجازه می‌دهد از طریق پروتکل HTTP به محصولات Oracle دسترسی یابد. حمله موفق کنترل کامل پلتفرم را در اختیار مهاجم قرار می دهد. محصولات آسیب پذیر از این طریق شامل:

  • CVE-2020-2961: Enterprise Manager Base Platform product of Oracle Enterprise Manager (component: Discovery Framework (Oracle OHS)).
  • CVE-2020-2953: Oracle Retail Customer Management and Segmentation Foundation product of Oracle Retail Applications (component: Promotions).
  • CVE-2020-2931: Oracle Knowledge product of Oracle Knowledge (component: Web Applications – InfoCenter).
  • CVE-2020-2950: Oracle Business Intelligence Enterprise Edition product of Oracle Fusion Middleware (component: Analytics Web General).
  • CVE-2020-2791: Oracle Knowledge product of Oracle Knowledge (component: Information Manager Console).
  • CVE-2020-2733: JD Edwards EnterpriseOne Tools product of Oracle JD Edwards (component: Monitoring and Diagnostics).

آسیب‌پذیری‌ مشابهی در دیگر محصولات Oracle وجود دارد که به حمله کننده اجازه می‌دهد از طریق پروتکل T3 به محصولات Oracle دسترسی یابد. (T3 پروتکلی برای ارتباط میان weblogic و برنامه های دیگر از طریق جاوا می باشد) حمله موفق کنترل کامل پلتفرم را در اختیار مهاجم قرار می دهد. محصولات آسیب پذیر از این طریق شامل:

  • CVE-2020-2915: Oracle Coherence product of Oracle Fusion Middleware (component: Caching, CacheStore, Invocation).
  • CVE-2020-2884, CVE-2020-2883, CVE-2020-2801: Oracle WebLogic Server product of Oracle Fusion Middleware (component: Core).

منابع:

  1. Oracle
  2. NVD-CVE-2020-2961
  3. NVD-CVE-2020-2953
  4. NVD-CVE-2020-2931
  5. NVD-CVE-2020-2950
  6. NVD-CVE-2020-2791
  7. NVD-CVE-2020-2733
  8. NVD-CVE-2020-2915
  9. NVD-CVE-2020-2884
  10. NVD-CVE-2020-2883
  11. NVD-CVE-2020-2801