بهروز رسانی بحرانی برای مجموعهای از آسیبپذیریهای امنیتی محصولات اوراکل منتشر شده است. این وصلهها یکجا منتشر میشوند و برای هر وصلهامنیتی توضیحات تخصصی و راهنما ارایه و به آن اضافه شده است.
شرکت Oracle مرتبا گزارشهایی را مبتنی بر تلاشهایی برای اکسپلویت آسیبپذیری هایی که برای آنها بهروز رسانی منتشر کرده است دریافت میکند. به عنوان مثال حمله موفق به برخی مشتریان انجام شده است که نتوانستند وصله بهروز رسانی امنیتی محصول خود را نصب کنند. Oracle بصوت جدی توصیه کرده است که مشتریان از نسخههای که Oracle پشتیبانی میکند استفاده کنند و به روزرسانی های امنیتی را نصب نمایند.
شناسه آسیبپذیری:
CVE-2020-2961, CVE-2020-2953, CVE-2020-2931, CVE-2020-2950, CVE-2020-2915, CVE-2020-2884, CVE-2020-2883, CVE-2020-2801, CVE-2020-2791, CVE-2020-2733
سطح ریسک:
For all vulnerabilities:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Base Score: 9.8 Critical
نسخههای آسیبپذیر:
CVE-2020-2961: Oracle Enterprise Manage 13.2.0.0 to 13.3.0.0
CVE-2020-2953: Oracle Retail Applications 18.0
CVE-2020-2931: Oracle Knowledge 8.6.0-8.6.3
CVE-2020-2950: Oracle Business Intelligence Enterprise Edition 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 and 12.2.1.4.0
CVE-2020-2915: Oracle Coherence 3.7.1.0, 12.1.3.0.0, 12.2.1.3.0 and 12.2.1.4.0
CVE-2020-2884, CVE-2020-2883, CVE-2020-2801: Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 and 12.2.1.4.0
CVE-2020-2791: Oracle Knowledge 8.6.0-8.6.3
CVE-2020-2733: JD Edwards EnterpriseOne Tools9.2
نیازمندی تعامل کاربر: خیر
سال شناسایی: ۲۰۲۰
توضیحات:
آسیبپذیریها در محصولات Oracle وجود دارد که به حمله کننده بدون احراز هویت اجازه میدهد از طریق پروتکل HTTP به محصولات Oracle دسترسی یابد. حمله موفق کنترل کامل پلتفرم را در اختیار مهاجم قرار می دهد. محصولات آسیب پذیر از این طریق شامل:
- CVE-2020-2961: Enterprise Manager Base Platform product of Oracle Enterprise Manager (component: Discovery Framework (Oracle OHS)).
- CVE-2020-2953: Oracle Retail Customer Management and Segmentation Foundation product of Oracle Retail Applications (component: Promotions).
- CVE-2020-2931: Oracle Knowledge product of Oracle Knowledge (component: Web Applications – InfoCenter).
- CVE-2020-2950: Oracle Business Intelligence Enterprise Edition product of Oracle Fusion Middleware (component: Analytics Web General).
- CVE-2020-2791: Oracle Knowledge product of Oracle Knowledge (component: Information Manager Console).
- CVE-2020-2733: JD Edwards EnterpriseOne Tools product of Oracle JD Edwards (component: Monitoring and Diagnostics).
آسیبپذیری مشابهی در دیگر محصولات Oracle وجود دارد که به حمله کننده اجازه میدهد از طریق پروتکل T3 به محصولات Oracle دسترسی یابد. (T3 پروتکلی برای ارتباط میان weblogic و برنامه های دیگر از طریق جاوا می باشد) حمله موفق کنترل کامل پلتفرم را در اختیار مهاجم قرار می دهد. محصولات آسیب پذیر از این طریق شامل:
- CVE-2020-2915: Oracle Coherence product of Oracle Fusion Middleware (component: Caching, CacheStore, Invocation).
- CVE-2020-2884, CVE-2020-2883, CVE-2020-2801: Oracle WebLogic Server product of Oracle Fusion Middleware (component: Core).