来源:蜘蛛抓取(WebSpider)
时间:2018-02-23 08:15
标签:
东航升级一个周期
Oracle 重要补丁更新公告 — 2017 年 4 月
Oracle 重要补丁更新公告 & 2017 年 4 月
重要补丁更新 (CPU) 是针对多个安全漏洞的补丁集合。重要补丁更新补丁通常是累积式的,但是每个公告只描述自上一个重要补丁更新公告以来添加的安全修复程序。因此,要了解有关以前发布的安全修复程序的信息,应该查看以前的重要补丁更新公告。请参见:
,获得有关 Oracle 安全公告的信息。
Oracle 将继续定期接收企图恶意利用 Oracle 已经针对其发布了修复程序的安全漏洞的报告。据报告可知,有些情况下由于目标客户未能应用可用的 Oracle 补丁,攻击者取得了成功。因此,Oracle 强烈 建议客户继续使用受积极支持的版本,刻不容缓 地应用重要补丁更新修复程序。
这个重要补丁更新包含针对下列产品系列的 300 个新的安全修复程序。请注意,上的一个 MOS 说明总结了这个重要补丁更新的内容以及其他 Oracle 软件安全性保障活动。
请注意,本重要补丁更新中的漏洞使用常见漏洞评估标准 (CVSS) 3.0 版进行评估。
本重要补丁更新公告还提供了符合常见漏洞报告格式 (CVRF) 1.1 版的 XML 格式。提供了有关 Oracle 使用 CVRF 的更多信息。
受影响的产品和组件
该重要补丁更新解决的安全漏洞影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在与指定的&受影响的产品和版本&列对应的&可用补丁&列中。请点击下面的&可用补丁&列中的链接,查看有关可用补丁信息和安装说明的文档。
有关与该重要补丁更新相关的 Oracle 产品文档概述,请参阅 2017 年 4 月 Oracle 重要补丁更新文档概述 。
下面是 下标准支持或延伸支持所涵盖的受影响的产品版本列表:
受影响的产品和版本
影响 Oracle 数据库和 Oracle 融合中间件的漏洞可能会影响 Oracle 融合应用,因此 Oracle 客户应参阅 Oracle 融合应用重要补丁更新知识文档,了解有关要应用于融合应用环境的补丁的信息。
使用浏览器运行 Java SE 的用户可以从 http://java.com/ 下载新版本。Windows 和 Mac OS X 平台上的用户还可以使用获取新版本。
影响 Oracle Solaris 的漏洞可能会影响 Oracle ZFSSA,因此 Oracle 客户应参阅 Oracle 和 Sun 系统产品套件重要补丁更新知识文档 ,了解有关解决重要补丁更新 (CPU) 和 Solaris 第三方公告中发布的 ZFSSA 问题所需的安全修复程序最低修订版的信息。
风险表内容
风险表只列出公告涉及到的补丁新近修复的安全漏洞。之前的安全修复程序的风险表包含在中。可获取本文档中提供的风险表的英语文本版本。
该重要补丁更新提出的几个漏洞影响多个产品。每个漏洞都通过一个来标识,该编号是相应漏洞的唯一标识符。一个影响多个产品的漏洞将在所有风险表中显示相同的漏洞号。用斜体 显示的漏洞号表明该漏洞不仅影响斜体漏洞号所在行的产品,还影响其他产品。
安全漏洞使用 CVSS 3.0 版进行评估(请参阅用于解释 Oracle 如何应用 CVSS 3.0 的 )。
Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不向客户公开有关此安全性分析的详细信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及利用得逞的潜在影响的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析自己的风险。有关详细信息,请参阅 。
风险表中的协议暗示其所有安全变体(如果适用)也将受到影响。例如,如果列出 HTTP 为受影响协议,则暗示 HTTPS(如果适用)也将受到影响。仅当协议的安全变体是唯一一个 受影响的变体时,才会在风险表中列出,例如,HTTPS 通常会列为 SSL 和 TLS 的漏洞。
考虑到攻击得逞所带来的威胁,Oracle 强烈建议客户尽快应用 CPU 修复程序。如果不应用 CPU 修复程序,则无法通过阻止攻击所需的网络协议来降低攻击得逞的风险。对于需要特定权限或者需要访问特定程序包的攻击,对不需要这些权限的用户删除这些权限或者使其无法访问这些程序包可能有助于降低攻击得逞的风险。这两种方法都有可能损害应用功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。
漏掉的重要补丁更新
Oracle 强烈建议客户尽快应用安全修复程序。如果客户漏掉了一个或多个重要补丁更新,担心该 CPU 中未公布其修复程序的产品出现安全问题,请查看以确定要采取的行动。
产品依赖性
某些 Oracle 产品可能依赖于其他 Oracle 产品。因此,该重要补丁更新中发布的安全漏洞修复程序可能影响一个或多个相关的 Oracle 产品。有关这些相关产品以及如何对相关产品应用补丁的详细信息,请参阅 2017 年 4 月补丁集更新和重要补丁更新可用性文档,。
重要补丁更新支持的产品和版本
只有的标准支持或延伸支持阶段中涵盖的产品版本才提供通过重要补丁更新计划发布的补丁。建议客户规划产品升级,以确保当前运行的版本可以应用通过重要补丁更新计划发布的补丁。
没有对未涵盖在标准支持或延伸支持之下的产品版本测试过是否存在该重要补丁更新提出的安全漏洞。但是,很可能受影响的版本的那些早期版本也会受这些安全漏洞的影响。因此,Oracle 建议客户升级到受支持的版本。
受支持的数据库、融合中间件、Oracle Enterprise Manager Base Platform(以前的&Oracle Enterprise Manager Grid Control&)和 Collaboration Suite 产品根据软件错误更正支持政策(参见 )进行修补。有关支持政策和支持阶段的详细指南,请查看。
处于延伸支持阶段的产品
已购买下的延伸支持的客户可以使用通过重要补丁更新计划发布的补丁。客户必须具有有效的延伸支持服务合同,才能在延伸支持阶段下载通过重要补丁更新计划发布的补丁。
该重要补丁更新修复的安全漏洞由以下人员或组织向 Oracle 报告:
Abhishek Nandawat:CVE-
Akshay Jain:CVE-
ERPScan 的 Alexey Tyurin:CVE-、CVE-
一位匿名研究员通过 Beyond Security 的 SecuriTeam Secure Disclosure 计划:CVE-
与 Trend Micro 的零时差计划合作的 Andrea Micalizzi(即 rgod):CVE-
Pentest Limited 的 Andrew Gill:CVE-
ValueMentor Infosec Pvt. Ltd 的 Arun Babu:CVE-
ValueMentor Infosec Pvt. Ltd 的 Binoy Koonammavu:CVE-
Biznet Bilisim A.S 的 Can Demirel 和 Faruk Unal:CVE-
Biznet Bilisim A.S. 的 Deniz Cevik:CVE-
Identity Works LLC 的 Devin Rosenbauer:CVE-、CVE-
Dmitrii Iudin(即 @ret5et):CVE-
ERPScan 的 Dmitry Chastuhin:CVE-
Onapsis 的 Emiliano J. Fausto:CVE-
Florian Bogner:CVE-
Onapsis 的 Gaston Traberg:CVE-、CVE-、CVE-
Hanno B&ck:CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-
ERPScan 的 Ivan Chalykin:CVE-、CVE-、CVE-
Tenable Network Security 的 Jacob Baines:CVE-
ING Services Polska 的 Jakub Palaczynski:CVE-
James Forshaw:CVE-
Jann Horn:CVE-、CVE-、CVE-、CVE-、CVE-
Jason Bertman:CVE-、CVE-、CVE-
Intel 的 John S Andersen:CVE-
CERT-FI 的 Jussi:CVE-
Mindterra Red Team 的 Khajornchol Puwarang:CVE-
Liferay 的 Kyle Stiemann:CVE-
Qihoo 360 Gear Team 的 Li Qiang:CVE-
Lionel Debroux:CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-
loopx9:CVE-
Mindterra Red Team 的 Manich Koomsusi:CVE-
Prevenity 的 Marcin Zi?ba:CVE-
Google Project Zero 的 Mateusz Jurczyk:CVE-
Onapsis 的 Matias Mevied:CVE-、CVE-、CVE-
Intel 的 Mickey Shkatov:CVE-
PricewaterhouseCoopers 的 Mohammed SatyCVE-
Moritz Bechler:CVE-
Saudi Aramco 的 Nada Alnoaimi:CVE-
ERPScan 的 Nadezhda Krivdyuk:CVE-
Motorola Solutions 的 Or Hanuka:CVE-、CVE-
Salesforce.com 的 Peter Kostiuk:CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-
Computest 的 Thijs Alkemade:CVE-
ValueMentor Infosec Pvt. Ltd 的 Renjith TC:CVE-
Secforce 的 Rodrigo Marcos:CVE-
ERPScan 的 Roman Shalymov:CVE-、CVE-
OTE Hellenic Telecommunications Organization S.A. 的 Spyridon Chatzimichail:CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-
Mindterra Red Team 的 Tawatchai PinsuwanCVE-
Teemu K&&ri&inen (Nixu):CVE-、CVE-、CVE-
Motorola Solutions 的 Tzachy Horesh:CVE-、CVE-
EY Global Delivery Services 的 Ubais PK:CVE-、CVE-
Intel 的 William Roberts:CVE-
前阿里巴巴公司员工 Zuozhi Fan:CVE-、CVE-、CVE-、CVE-、CVE-
深度安全贡献者
Oracle 向那些为我们的深度安全计划作出贡献的人表示感谢(参见)。对于导致在以后版本中大量修改 Oracle 代码或文档但是严重程度不足以归类到重要补丁更新中的安全漏洞问题,如果有人提供相关的信息、发现或建议,则会因为深度安全作出贡献而受到褒奖。
在此重要补丁更新公告中,Oracle 向以下为 Oracle 深度安全计划作出贡献的人们表示感谢:ERPScan 的 Alexey Tyurin;前 Google 员工 David Litchfield;Netspi 的 Eric Gruber;ERPScan 的 Ivan Chalykin;Jeffrey Walton、前 Netspi 员工 Khai Tran;MMakhil;ERPScan 的 Roman Shalymov(2 份报告);Gulf Business Machine 的 Suraj Khetani;以及 FINRA 的 Xiejingwei Fei。
在线业务安全贡献者
Oracle 向那些为我们的在线业务安全计划作出贡献的人表示感谢(参见)。如果有人提供会导致在以后版本中大量修改 Oracle 面向外部的在线系统安全问题相关的信息、发现或建议,则会因为在线业务安全作出贡献而受到褒奖。
在本季度中,Oracle 向以下为 Oracle 在线业务安全计划作出贡献的人们表示感谢:Blue Canopy 的 Adam Willard(2 份报告);C&dric B&hler;Dani&l van Eeden;Tunisian WhiteHat Security 的 Hamdi Charfeddine;Infomenia Technologies 的 Harsh Joshi;Jasmin Landry;Jhayz Rubio;Mala;Amazon Web Services IT Security 的 Mat Werber;Mazlum Bozan;Md. Nur A Alam Dipu;Mohammed Khalid Almouty;Serverghosts 的 Muhammad nurnobi;Muhammad Uwais;喀拉拉邦警察局 Cyber Dome 志愿者指挥 Sreedeep.Ck Alavil;Suleman Malik;Sumit Sahoo (54H00);Suvadip Kar;以及 Tansel &Cetin。&&
重要补丁更新时间表
重要补丁更新在距 1 月、4 月、7 月和 10 月的第 17 日最近的星期二发布。接下来的四个日期为:
2017 年 7 月 18 日
2017 年 10 月 17 日
2018 年 1 月 16 日
2018 年 4 月 17 日
Oracle 重要补丁更新和安全警报主页 [
重要补丁更新 & 2017 年 4 月文档概述&[
Oracle 重要补丁更新和安全警报 & 常见问题解答 [
风险表定义 [
使用常见漏洞评估系统 (CVSS),Oracle [
风险表的英语文本版本 [
风险表的 CVRF XML 版本 [
The Oracle Software Security Assurance Blog [
重要补丁更新和安全警报中修复的公共漏洞列表 [
软件错误更正支持政策 [
2017 年 6 月 20 日
修订版 5。CVSS 评分针对 CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE- 和 CVE- 进行了更新。
2017 年 5 月 18 日
修订版 4。更新了受 CVE-、CVE-、CVE- 和 CVE- 影响的版本。
2017 年 5 月 2 日
修订版 3。更新了受 CVE- 影响的版本。更新了&致谢声明&部分。
2017 年 4 月 21 日
修订版 2。新增了 CVE-。针对 CVE- 添加了说明。更新了&在线业务安全贡献者&部分。
2017 年 4 月 18 日
修订版 1。初始版本。
附录 & Oracle 数据库服务器
Oracle 数据库服务器执行概要
该重要补丁更新包含以下 3 个针对 Oracle 数据库服务器的新安全修复程序:
2 个针对 Oracle 数据库服务器的新安全修复程序。其中不存在无需身份验证即可远程利用的漏洞,即无人可以在无需用户凭证的情况下通过网络利用这些漏洞。其中 1 个修复程序适用于仅客户端的安装(即,没有安装 Oracle 数据库服务器的安装)。可获取此风险表的英语文本形式。
1 个针对 Oracle Secure Backup 的新安全修复程序。此漏洞无需身份验证即可远程利用,即,无需用户凭证即可通过网络利用该漏洞。可获取此风险表的英语文本形式。
Oracle 数据库服务器风险表
所需的程序包和/或权限
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
Oracle Net
11.2.0.4、12.1.0.2
参见注释 1
具备 Create Session、Create Procedure 权限
11.2.0.4、12.1.0.2
此评分适用于数据库的 Windows 平台 11.2.0.4 版。对于 Windows 平台 12.1.0.2 版和 Linux,评分为 6.3,范围不变。
仅具有 Oracle 数据库服务器客户端的安装
本重要补丁更新中包括的下列 Oracle 数据库服务器漏洞影响仅具有客户端的安装:CVE-。
Oracle Secure Backup 执行概要
该重要补丁更新包含 1 个针对 Oracle Secure Backup 的新安全修复程序。此漏洞无需身份验证即可远程利用,即,无需用户凭证即可通过网络利用该漏洞。可获取此风险表的英语文本形式。
Oracle Secure Backup 风险表
所需的程序包和/或权限
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
12.1.0.3.0 之前的版本
& 下面是解决的其他 CVE:
CVE- 修复程序还解决了 CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE- 和 CVE-。
附录 & Oracle Berkeley DB
Oracle Berkeley DB 执行概要
该重要补丁更新包含 14 个针对 Oracle Berkeley DB 的新安全修复程序。其中不存在无需身份验证即可远程利用的漏洞,即无人可以在无需用户凭证的情况下通过网络利用这些漏洞)。可获取此风险表的英语文本形式。
Oracle Berkeley DB 风险表
所需的程序包和/或权限
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
6.2.32 之前的版本
6.2.32 之前的版本
6.2.32 之前的版本
6.2.32 之前的版本
6.2.32 之前的版本
6.2.32 之前的版本
6.2.32 之前的版本
6.2.32 之前的版本
6.2.32 之前的版本
6.2.32 之前的版本
6.2.32 之前的版本
6.2.32 之前的版本
6.2.32 之前的版本
6.2.32 之前的版本
附录 & Oracle 融合中间件
Oracle 融合中间件执行概要
该重要补丁更新包含 31 个针对 Oracle 融合中间件的新安全修复程序。其中 20 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。可获取此风险表的英语文本形式。
Oracle 融合中间件产品包括受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库组件。Oracle 融合中间件产品暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库安全修复程序未列在 Oracle 融合中间件风险表中。然而,由于影响 Oracle 数据库版本的漏洞可能影响 Oracle 融合中间件产品,Oracle 建议客户将 2017 年 4 月的重要补丁更新应用于 Oracle 融合中间件产品的 Oracle 数据库组件。有关您的环境需要应用哪些补丁的信息,请参阅 2017 年 4 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 。
Oracle 融合中间件风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
Oracle WebCenter Sites
第三方工具 (Struts 2)
11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0
Oracle Identity Manager
11.1.2.3.0
Oracle API Gateway
Oracle API Gateway (OpenSSL)
11.1.2.4.0
Oracle Fusion Middleware MapViewer
Install (Apache Commons Collections)
11.1.1.9、12.2.1.1、12.2.1.2
Oracle WebLogic Server
示例 (Struts 2)
10.3.6.0、12.1.3.0、12.2.1.0、12.2.1.1、12.2.1.2
Oracle WebCenter Sites
Apache Tomcat
11.1.1.8.0
Oracle WebCenter Sites
Sites (Apache Commons Collections)
11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0
Oracle Fusion Middleware MapViewer
Map Builder
11.1.1.9、12.2.1.1、12.2.1.2
Oracle WebCenter Sites
11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0
Oracle WebCenter Sites
11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0
Oracle WebCenter Sites
11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0
Oracle WebCenter Content
Content Server
11.1.1.7、11.1.1.9、12.2.1.0、12.2.1.1、12.2.1.2
Oracle WebCenter Sites
Blob Server
11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0
Oracle WebCenter Sites
11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0
Oracle API Gateway
Oracle API Gateway
11.1.2.4.0
Oracle WebCenter Sites
11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0
Oracle WebCenter Sites
Catalog Mover
11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0
Oracle WebLogic Server
示例 (Struts 1)
10.3.6.0、12.1.3.0、12.2.1.0、12.2.1.1、12.2.1.2
Oracle WebCenter Sites
11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0
Oracle Social Network
Android 客户端
11.1.12.0.0 () 之前的版本
Oracle WebLogic Server
10.3.6.0、12.1.3.0、12.2.1.0、12.2.1.1、12.2.1.2
Oracle Service Bus
Web Console Design
12.1.3.0.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0
Oracle WebLogic Server
Servlet Runtime
12.1.3.0、12.2.1.0、12.2.1.1、12.2.1.2
Oracle WebCenter Sites
11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0
Oracle WebCenter Sites
11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0
Oracle WebCenter Sites
Catalog Mover
11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0
Oracle WebCenter Sites
11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0
Oracle WebCenter Sites
11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0
Oracle GlassFish Server
Java Server Faces
Oracle WebCenter Sites
11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0
Oracle WebCenter Sites
11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0
& 下面是解决的其他 CVE:
CVE- 修复程序还解决了 CVE-、CVE- 和 CVE-。
CVE- 修复程序还解决了 CVE-、CVE- 和 CVE-。
CVE- 修复程序还解决了 CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE- 和 CVE-。
附录 & Oracle Hyperion
Oracle Hyperion 执行概要
该重要补丁更新包含 1 个针对 Oracle Hyperion 的新安全修复程序。此漏洞无需身份验证即可远程利用,即,无需用户凭证即可通过网络利用该漏洞。可获取此风险表的英语文本形式。
Oracle Hyperion 风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
Oracle Hyperion Essbase
Security (libcurl)
& 下面是解决的其他 CVE:
CVE- 修复程序还解决了 CVE-。
附录 & Oracle Enterprise Manager Grid Control
Oracle Enterprise Manager Grid Control 执行概要
该重要补丁更新包含 2 个针对 Oracle Enterprise Manager Grid Control 的新安全修复程序。这 2 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。所有这些修复程序都不适用于仅客户端的安装(即,没有安装 Oracle Enterprise Manager Grid Control 的安装)。可获取此风险表的英语文本形式。
Oracle Enterprise Manager 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库和 Oracle 融合中间件部分中所列漏洞的影响。Oracle Enterprise Manager 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle Enterprise Manager 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle Enterprise Manager 产品,Oracle 建议客户将 2017 年 4 月的重要补丁更新应用于 Enterprise Manager 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 2017 年 4 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 。
Oracle Enterprise Manager Grid Control 风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
Enterprise Manager Base Platform
Security Framework
12.1.0、13.1.0、13.2.0
Enterprise Manager Base Platform
Discovery Framework
12.1.0、13.1.0、13.2.0
& 下面是解决的其他 CVE:
CVE- 修复程序还解决了 CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE- 和 CVE-。
附录 & Oracle 应用
Oracle E-Business Suite 执行概要
该重要补丁更新包含 11 个针对 Oracle E-Business Suite 的新安全修复程序。其中 10 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。可获取此风险表的英语文本形式。
Oracle E-Business Suite 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库和 Oracle 融合中间件部分中所列漏洞的影响。Oracle E-Business Suite 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle E-Business Suite 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle E-Business Suite 产品,Oracle 建议客户将 2017 年 4 月的重要补丁更新应用于 Oracle E-Business Suite 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 Oracle E-Business Suite 12 版重要补丁更新知识文档(2017 年 4 月)。
本部分中的某些风险表行被分配了多个漏洞号。在这些情况下,其他的 CVE 列在风险表下面,以提高可读性。每组 CVE 标识符共享风险表中列出的相同的描述、漏洞类型、组件、子组件和受影响的版本,但会出现在子组件的不同代码段中。
Oracle E-Business Suite 风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
Oracle Scripting
12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6
Oracle Advanced Outbound Telephony
交互历史记录
12.2.3、12.2.4、12.2.5、12.2.6
Oracle Customer Interaction History
Admin Console
12.1.1、12.1.2、12.1.3
Oracle Marketing
12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6
Oracle One-to-One Fulfillment
Audience 工作台
12.1.1、12.1.2、12.1.3
Oracle One-to-One Fulfillment
打印服务器
12.1.3、12.2.3、12.2.4、12.2.5、12.2.6
Oracle iReceivables
12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6
Oracle Payables
Self Service Manager
12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6
Oracle Applications Framework
弹出窗口(值列表、日期选择器等)
12.1.3、12.2.3、12.2.4、12.2.5、12.2.6
Oracle User Management
用户名/密码管理
12.1.3、12.2.3、12.2.4、12.2.5、12.2.6
Oracle Application Object Library
12.1.3、12.2.3、12.2.4、12.2.5、12.2.6
& 下面是解决的其他 CVE:
CVE- 修复程序还解决了 CVE-、CVE-、CVE-、CVE- 和 CVE-。
CVE- 修复程序还解决了 CVE-。
Oracle Supply Chain 产品套件执行概要
该重要补丁更新包含 1 个针对 Oracle Supply Chain 产品套件的新安全修复程序。此漏洞必需身份验证才可远程利用,即,没有用户凭证就不能通过网络利用该漏洞。可获取此风险表的英语文本形式。
Oracle Supply Chain 产品套件风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
Oracle Transportation Manager
6.2、6.3.0、6.3.1、6.3.2、6.3.3、6.3.4、6.3.5、6.3.6、6.3.7、6.4.0、6.4.1、6.4.2
Oracle PeopleSoft 产品执行概要
该重要补丁更新包含 16 个针对 Oracle PeopleSoft 产品的新安全修复程序。其中 8 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。可获取此风险表的英语文本形式。
Oracle PeopleSoft 产品风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
PeopleSoft Enterprise PeopleTools
8.54、8.55
PeopleSoft Enterprise PeopleTools
多通道框架
8.54、8.55
PeopleSoft Enterprise CS Campus Community
PeopleSoft Enterprise FSCM
电子结算管理
PeopleSoft Enterprise PeopleTools
8.54、8.55
PeopleSoft Enterprise PeopleTools
8.54、8.55
PeopleSoft Enterprise PeopleTools
多通道框架
8.54、8.55
PeopleSoft Enterprise PeopleTools
8.54、8.55
PeopleSoft Enterprise SCM Purchasing
供应商注册
PeopleSoft Enterprise SCM Service Procurement
PeopleSoft Enterprise SCM Strategic Sourcing
投标人注册
PeopleSoft Enterprise SCM eBill Payment
PeopleSoft Enterprise SCM eSupplier Connection
PeopleSoft Enterprise FIN Receivables
PeopleSoft Enterprise PeopleTools
8.54、8.55
PeopleSoft Enterprise PeopleTools
8.54、8.55
Oracle JD Edwards 产品执行概要
该重要补丁更新包含 1 个针对 Oracle JD Edwards 产品的新安全修复程序。此漏洞无需身份验证即可远程利用,即,无需用户凭证即可通过网络利用该漏洞。可获取此风险表的英语文本形式。
Oracle JD Edwards 产品风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
JD Edwards EnterpriseOne Tools
Web 运行时 SEC
Oracle Siebel CRM 执行概要
该重要补丁更新包含 1 个针对 Oracle Siebel CRM 的新安全修复程序。此漏洞无需身份验证即可远程利用,即,无需用户凭证即可通过网络利用该漏洞。可获取此风险表的英语文本形式。
Oracle Siebel CRM 风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
Siebel 应用 & E-Billing
安全 (Struts 2)
6.1、6.2、7.0、7.1
Oracle 商务解决方案执行概要
该重要补丁更新包含 3 个针对 Oracle 商务解决方案的新安全修复程序。所有这些漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。可获取此风险表的英语文本形式。
Oracle 商务解决方案风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
Oracle Commerce Guided Search / Oracle Commerce Experience Manager
6.2.2、6.3.0、6.4.1.2、6.5.0、6.5.1、6.5.2
Oracle Commerce Guided Search / Oracle Commerce Experience Manager
6.2.2、6.3.0、6.4.1.2、6.5.0、6.5.1、6.5.2
Oracle Commerce Guided Search / Oracle Commerce Experience Manager
Platform Services
6.1.4、11.0、11.1、11.2
& 下面是解决的其他 CVE:
CVE- 修复程序还解决了 CVE-、CVE-、CVE- 和 CVE-。
CVE- 修复程序还解决了 CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE- 和 CVE-。
附录 & Oracle 通信应用
Oracle 通信应用执行概要
该重要补丁更新包含 11 个针对 Oracle 通信应用的新安全修复程序。其中 9 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。可获取此风险表的英语文本形式。
Oracle 通信应用风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
Oracle Communications Policy Management
安全 (Struts 2)
Oracle Communications ASAP
安全 (Xerces)
7.0、7.2、7.3
Oracle Communications Network Integrity
安全 (Spring)
7.3.0、7.2.4
Oracle Communications Service Broker 集成系统版
安装 (Apache Commons FileUpload)
Oracle Communications Session Border Controller
系统管理 (SCTP)
SCZ7.2.0、SCZ7.3.0、SCZ7.4.0
Oracle Communications Session Border Controller
路由 (OpenSSL)
SCZ7.2.0、SCZ7.3.0、SCZ7.4.0
Oracle Communications Session Border Controller
系统管理 (Dropbear)
SCZ7.2.0、SCZ7.3.0、SCZ7.4.0
Oracle Communications Security Gateway
路由 (OpenSSL)
Oracle Communications Session Border Controller
SCZ7.3.0、SCZ7.4.0
Oracle Communications Security Gateway
Oracle Communications Session Border Controller
SCZ7.2.0、 SCZ7.3.0、SCZ7.4.0
& 下面是解决的其他 CVE:
CVE- 修复程序还解决了 CVE-、CVE-、CVE-、CVE- 和 CVE-。
CVE- 修复程序还解决了 CVE-、CVE-、CVE-、CVE-、CVE- 和 CVE-。
附录 & Oracle 金融服务应用
Oracle 金融服务应用执行概要
该重要补丁更新包含 47 个针对 Oracle 金融服务应用的新安全修复程序。其中 25 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。可获取此风险表的英语文本形式。
Oracle 金融服务应用风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
Oracle FLEXCUBE Private Banking
核心 (Struts 2)
12.0.1、12.0.2、12.0.3、12.1.0
Oracle Financial Services Analytical Applications Infrastructure
核心 (Struts 2)
7.3.3、7.3.4、7.3.5
Oracle Financial Services Asset Liability Management
核心 (Struts 2)
6.0.0、6.1.0、6.1.1、8.0.1、8.0.2、8.0.3、8.0.4
Oracle Financial Services Basel Regulatory Capital Basic
核心 (Struts 2)
6.1.2、6.1.3、8.0.2、8.0.3
Oracle Financial Services Basel Regulatory Capital Internal Ratings Based Approach
核心 (Struts 2)
6.1.2、6.1.3、8.0.2、8.0.3
Oracle Financial Services Data Foundation
核心 (Struts 2)
8.0.1、8.0.2、8.0.3、8.0.4
Oracle Financial Services Data Integration Hub
核心 (Struts 2)
8.0.1、8.0.2、8.0.3、8.0.4
Oracle Financial Services Enterprise Financial Performance Analytics
核心 (Struts 2)
8.0.0 至 8.0.4
Oracle Financial Services Funds Transfer Pricing
核心 (Struts 2)
6.0.0、6.1.0、6.1.1、8.0.1、8.0.2、8.0.3、8.0.4
Oracle Financial Services Hedge Management and IFRS Valuations
核心 (Struts 2)
6.1.1、8.0.1、8.0.2、8.0.3、8.0.4
Oracle Financial Services Institutional Performance Analytics
核心 (Struts 2)
8.0.0 至 8.0.4
Oracle Financial Services Liquidity Risk Management
核心 (Struts 2)
8.0.1、8.0.2、8.0.4
Oracle Financial Services Loan Loss Forecasting and Provisioning
核心 (Struts 2)
1.5.0、1.5.1、8.0.1、8.0.2、8.0.3、8.0.4
Oracle Financial Services Pricing Management/Transfer Pricing Component
核心 (Struts 2)
8.0.0 至 8.0.4
Oracle Financial Services Profitability Management
核心 (Struts 2)
6.0.0、6.1.0、6.1.1、8.0.1、8.0.2、8.0.3、8.0.4
Oracle Financial Services Reconciliation Framework
核心 (Struts 2)
8.0.0、8.0.1、8.0.2
Oracle Financial Services Retail Customer Analytics
核心 (Struts 2)
8.0.0 至 8.0.3
Oracle Financial Services Retail Performance Analytics
核心 (Struts 2)
8.0.0 至 8.0.4
Oracle Insurance Data Foundation
核心 (Struts 2)
8.0.1、8.0.2、8.0.3、8.0.4
Oracle FLEXCUBE Private Banking
核心 (Spring Framework)
12.0.1、12.0.2、12.0.3、12.1.0
Oracle FLEXCUBE Enterprise Limits and Collateral Management
12.0.0、12.1.0
Oracle FLEXCUBE Private Banking
项目组合管理
2.0.0、2.0.1、2.2.0.1、12.0.1
Oracle FLEXCUBE Private Banking
2.0.0、2.0.1、2.2.0.1、12.0.1
Oracle FLEXCUBE Universal Banking
11.3.0、11.4.0、12.0.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0
Oracle FLEXCUBE Enterprise Limits and Collateral Management
限额和抵押品
12.0.1、12.1.0
Oracle FLEXCUBE Investor Servicing
12.0.1、12.0.2、12.0.3、12.0.4、12.1.0、12.2.0、12.3.0
Oracle FLEXCUBE Universal Banking
12.0.1、12.0.2、12.0.3、12.1.0、12.2.0、12.3.0
Oracle FLEXCUBE Enterprise Limits and Collateral Management
12.0.0、12.1.0
Oracle FLEXCUBE Enterprise Limits and Collateral Management
12.0.0、12.1.0
Oracle FLEXCUBE Enterprise Limits and Collateral Management
限额和抵押品
12.0.0、12.1.0
Oracle FLEXCUBE Investor Servicing
安全管理系统
12.0.1、12.0.2、12.0.3、12.0.4、12.1.0、12.2.0、12.3.0
Oracle FLEXCUBE Investor Servicing
12.0.1、12.0.2、12.0.3、12.0.4、12.1.0、12.2.0、12.3.0
Oracle FLEXCUBE Private Banking
12.0.0、12.1.0
Oracle FLEXCUBE Private Banking
2.0.0、2.0.1、2.2.0.1、12.0.1
Oracle FLEXCUBE Universal Banking
12.0.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0、12.3.0
Oracle FLEXCUBE Private Banking
2.0.0、2.0.1、2.2.0.1、12.0.1
Oracle FLEXCUBE Direct Banking
12.0.2、12.0.3
Oracle FLEXCUBE Private Banking
12.0.0、12.1.0
Oracle FLEXCUBE Universal Banking
11.3.0、11.4.0、12.0.1
Oracle FLEXCUBE Universal Banking
11.3.0、11.4.0、12.0.1、12.0.2、12.0.3
Oracle FLEXCUBE Universal Banking
11.3.0、11.4.0、12.0.1、12.0.2、12.0.3
Oracle FLEXCUBE Enterprise Limits and Collateral Management
限额和抵押品
12.0.0、12.1.0
Oracle FLEXCUBE Private Banking
2.0.0、2.0.1、2.2.0.1、12.0.1
Oracle FLEXCUBE Universal Banking
11.3.0、11.4.0、12.0.1
Oracle FLEXCUBE Private Banking
12.0.0、12.1.0
Oracle FLEXCUBE Enterprise Limits and Collateral Management
限额和抵押品
12.0.0、12.1.0
Oracle FLEXCUBE Investor Servicing
12.0.1、12.0.2、12.0.3、12.0.4、12.1.0、12.2.0、12.3.0
附录 & Oracle 健康科学应用
Oracle 健康科学应用执行概要
该重要补丁更新包含 1 个针对 Oracle 健康科学应用的新安全修复程序。此漏洞无需身份验证即可远程利用,即,无需用户凭证即可通过网络利用该漏洞。可获取此风险表的英语文本形式。
Oracle 健康科学应用风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
Oracle 医疗卫生个人主索引
Cleanser、Profiler (Apache Commons FileUpload)
2.0.1.x 及之前的版本、3.0.0.x 和 4.0.1.x
附录 & Oracle 酒店管理应用
Oracle 酒店管理应用执行概要
该重要补丁更新包含 6 个针对 Oracle 酒店管理应用的新安全修复程序。其中 1 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。可获取此风险表的英语文本形式。
Oracle 酒店管理应用风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
Oracle Hospitality OPERA 5 Property Services
OPERA 许可代码配置
5.4.0.x、5.4.1.x、5.4.2.x、5.4.3.x、5.5.0.x、5.5.1.x
Oracle Hospitality OPERA 5 Property Services
OPERA 打印和登录
5.4.0.x、5.4.1.x、5.4.2.x、5.4.3.x、5.5.0.x、5.5.1.x
Oracle Hospitality OPERA 5 Property Services
OPERA 打印
5.4.0.x、5.4.1.x、5.4.2.x、5.4.3.x、5.5.0.x、5.5.1.x
Oracle Hospitality OPERA 5 Property Services
OPERA 业务事件
5.4.0.x、5.4.1.x、5.4.2.x、5.4.3.x、5.5.0.x、5.5.1.x
Oracle Hospitality OPERA 5 Property Services
OPERA 房间图像/图片设置
5.4.0.x、5.4.1.x、5.4.2.x、5.4.3.x、5.5.0.x、5.5.1.x
Oracle Hospitality OPERA 5 Property Services
5.4.0.x、5.4.1.x、5.4.2.x、5.4.3.x、5.5.0.x、5.5.1.x
附录 & Oracle 保险应用
Oracle 保险应用执行概要
该重要补丁更新包含 1 个针对 Oracle 保险应用的新安全修复程序。此漏洞必需身份验证才可远程利用,即,没有用户凭证就不能通过网络利用该漏洞。可获取此风险表的英语文本形式。
Oracle 保险应用风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
Oracle Insurance Istream
IStream Publisher (Bouncy Castle)
4.3.2 及早期版本
附录 & Oracle 零售应用
Oracle 零售应用执行概要
该重要补丁更新包含 39 个针对 Oracle 零售应用的新安全修复程序。其中 32 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。可获取此风险表的英语文本形式。
Oracle 零售应用风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
Oracle 零售 XBRi 防损管理
内部运营 (Struts 2)
10.0.1、10.5.0、10.6.0、10.7.0、10.8.0、10.8.1
Oracle 零售后端办公
Oracle 零售发票核对
13.2、14.0、14.1
Oracle 零售定点服务
Oracle 零售定点服务
Oracle 零售退货管理
MICROS Lucas
Oracle Net
2.9.5.1、2.9.5.2、2.9.5.3、2.9.5.4、2.9.5.5
MICROS Relate CRM Software
Oracle Net
10.0、10.5、10.8、11.0、11.1、11.4、15.0
MICROS XBR
Oracle Net
10.0.1、10.5.0、10.6.0、10.7.7、10.8.0、10.8.1
MICROS Xstore Payment
Oracle Net
5.5、6.0、6.5、7.0、7.1、15.0、16.0
Oracle 零售高级库存计划
Oracle Net
14.1、15.0
Oracle Retail Advanced Science Engine
Oracle Net
Oracle Retail Analytic Parameter Calculator - RO
Oracle Net
Oracle Retail Analytic Parameter Calculator - RO
Oracle Net
Oracle Retail Analytics
Oracle Net
14.0、14.1、15.0、16.0
Oracle 零售品类计划
Oracle Net
14.1.3、15.0.1、16.0.0
Oracle 零售品类管理
Oracle Net
13.2、13.3、14.0、14.1
Oracle Retail Category Management Planning & Optimization
Oracle Net
Oracle Retail Customer Insights
Oracle Net
Oracle Retail Customer Management and Segmentation Foundation
Oracle 零售需求预测
Oracle Net
14.1.3、15.0.2
Oracle 零售单品优化
Oracle Net
14.1.3、15.0.2
Oracle 零售宏观空间优化
Oracle Net
Oracle 零售商品财务计划
Oracle Net
14.1.3、15.0.2
Oracle Retail Merchandising Insights
Oracle Net
Oracle 零售订单代理
订单代理基础
Oracle Net
5.1、5.2、15.0、16.0
Oracle Retail Predictive Application Server
安装程序 & 服务器
Oracle Net
13.1、13.2、13.3、13.4、14.0、14.1、15.0
Oracle 零售定期价格优化
Oracle Net
14.1.3、15.0.2
Oracle 零售补货优化
Oracle Net
14.1.3、15.0.2
Oracle 零售尺码优化
Oracle Net
14.1.3、15.0.2
Oracle 零售商店库存
Oracle Net
14.1、15.0、16.0
Oracle 零售终端系统
Oracle Net
5.5、6.0、6.5、7.1、15.0
Oracle 零售终端系统
Oracle Net
5.5、6.0、6.5、7.0、7.1、15.0、16.0
Oracle 零售发票核对
12.0、13.0、13.1、13.2、14.0、14.1
Oracle 零售发票核对
12.0、13.0
Oracle 零售业开放式商务平台
4.0、5.0、5.1、5.3、6.0
Oracle Retail Predictive Application Server
RPAS 服务器
13.3.3、13.4.3、14.0.3、14.1.3、15.0.2、16.0.0
Oracle 零售仓库管理系统
13.2、14.0、15.0
Oracle 零售业开放式商务平台
4.0、5.0、5.1、5.3、6.0、6.1、15.0、16.0
& 下面是解决的其他 CVE:
CVE- 修复程序还解决了 CVE-。
CVE- 修复程序还解决了 CVE- 和 CVE-。
CVE- 修复程序还解决了 CVE-。
附录 & Oracle 公用事业应用
Oracle 公用事业应用执行概要
该重要补丁更新包含 7 个针对 Oracle 公用事业应用的新安全修复程序。所有这些漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。可获取此风险表的英语文本形式。
Oracle 公用事业应用风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
Oracle 公用事业客户自助服务
打包 (Apache Trinidad)
Oracle 公用事业框架
4.1.0.1.0、4.1.0.2.0、4.2.0.1.0、4.2.0.2.0、4.2.0.3.0、4.3.0.1.0、4.3.0.2.0、4.3.0.3.0
Oracle 公用事业框架
文件上载和附件 (Apache Commons FileUpload)
2.2.0.0.0、4.1.0.1.0、4.1.0.2.0、4.2.0.1.0、4.2.0.2.0、4.2.0.3.0、4.3.0.1.0、4.3.0.2.0、4.3.0.3.0
Oracle 公用事业框架
UI、批处理和 XAI (Xstream)
2.2.0.0.0、4.1.0.1.0、4.1.0.2.0、4.2.0.1.0、4.2.0.2.0、4.2.0.3.0、4.3.0.1.0、4.3.0.2.0、4.3.0.3.0
Oracle 公用事业作业和资产管理
集成 (Apache Commons FileUpload)
1.9.1.2.11
Oracle 实时调度器
移动通信平台
2.2.0.3.13、2.3.0.0、2.3.0.1
Oracle 公用事业框架
UI(YUI JavaScript 框架)
2.2.0.0.0、4.1.0.1.0、4.1.0.2.0、4.2.0.1.0、4.2.0.2.0、4.2.0.3.0、4.3.0.1.0、4.3.0.2.0、4.3.0.3.0
& 下面是解决的其他 CVE:
CVE- 修复程序还解决了 CVE- 和 CVE-。
附录 & Oracle Primavera 产品套件
Oracle Primavera 产品套件执行概要
该重要补丁更新包含 7 个针对 Oracle Primavera 产品套件的新安全修复程序。其中 4 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。可获取此风险表的英语文本形式。
Oracle Primavera 产品套件风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
Primavera P6 企业项目组合管理
Web 访问 (Apache Commons BeanUtils)
8.3、8.4、15.1、15.2、16.1、16.2
Primavera Gateway
Primavera 桌面集成
1.0、1.1、14.2、15.1、15.2、16.1、16.2
Primavera Gateway
Primavera 桌面集成
1.0、1.1、14.2、15.1、15.2、16.1、16.2
Primavera P6 企业项目组合管理
8.3、8.4、15.1、15.2、16.1、16.2
Primavera P6 企业项目组合管理
8.3、8.4、15.1、15.2、16.1、16.2
Primavera Unifier
9.13、9.14、10.0、10.1、15.1、15.2
Primavera P6 企业项目组合管理
Project Manager (OpenSSL)
8.3、8.4、15.1、15.2、16.1、16.2
& 下面是解决的其他 CVE:
CVE- 修复程序还解决了 CVE-。
附录 & Oracle Java SE
Oracle Java SE 执行概要
该重要补丁更新包含 8 个针对 Oracle Java SE 的新安全修复程序。其中 7 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。可获取此风险表的英语文本形式。
以下 CVSS 评分假定运行 Java 小程序或 Java Web Start 应用的用户拥有管理员权限(这是 Windows 上的典型情况)。如果用户未以管理员权限运行(Solaris 和 Linux 的典型情况),则对机密性、完整性以及可用性的对应 CVSS 评分的影响是&低&而非&高&,降低了 CVSS 基本评分。例如,基本评分 9.6 变成 7.1。
用户应使用新的 JDK 和 JRE 8 中的默认 Java 插件和 Java Web Start。
Oracle Java SE 风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
Java SE:7u131、8u121
参见注释 1
Java SE:6u141、7u131、8u121
参见注释 1
Java SE、Java SE Embedded、JRockit
Java SE:7u131、8u121;Java SE Embedded:8u121;JRockit:R28.3.13
参见注释 2
Java SE、Java SE Embedded、JRockit
Java SE:6u141、7u131、8u121;Java SE Embedded:8u121;JRockit:R28.3.13
参见注释 2
Java SE、Java SE Embedded
Java SE:6u141、7u131、8u121;Java SE Embedded:8u121
参见注释 1
Java SE、Java SE Embedded、JRockit
Java SE:6u141、7u131、8u121;Java SE Embedded:8u121;JRockit:R28.3.13
参见注释 2
Java SE、Java SE Embedded、JRockit
Java SE:6u141、7u131、8u121;Java SE Embedded:8u121;JRockit:R28.3.13
参见注释 2
Java SE、Java SE Embedded
Java SE:6u141、7u131、8u121;Java SE Embedded:8u121
参见注释 1
该漏洞适用于加载和运行不受信任的代码(例如,来自互联网的代码)并依赖 Java 沙盒获得安全性的 Java 部署(通常在运行沙盒 Java Web Start 应用或沙盒 Java 小程序的客户端中)。该漏洞不适用于仅加载和运行受信任的代码(例如,管理员安装的代码)的 Java 部署(通常在服务器中)。
适用于 Java 的客户端和服务器部署。该漏洞可通过沙盒 Java Web Start 应用和沙盒 Java 小程序利用。还可以通过向指定组件中的 API 提供数据来利用它,无需使用沙盒 Java Web Start 应用或沙盒 Java 小程序,如通过 Web 服务。
附录 & Oracle Sun 系统产品套件
Oracle Sun 系统产品套件执行概要
该重要补丁更新包含 21 个针对 Oracle Sun 系统产品套件的新安全修复程序。其中 8 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。可获取此风险表的英语文本形式。
Oracle Sun 系统产品套件风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
参见注释 1
Solaris Cluster
GlassFish Server
StorageTek Tape Analytics SW Tool
核心 (Apache Trinidad)
2.2.1 之前的版本
StorageTek Tape Analytics SW Tool
WebLogic Server
2.2.1 之前的版本
StorageTek Tape Analytics SW Tool
核心 (Apache Commons Collections)
2.2.1 之前的版本
Sun ZFS Storage Appliance Kit (AK)
RAS 子系统
Oracle SuperCluster 特定软件
备份/恢复实用程序
2.3.8、2.3.13
Sun ZFS Storage Appliance Kit (AK)
RAS 子系统
Common Desktop Environment (CDE)
参见注释 2
Sun ZFS Storage Appliance Kit (AK)
RAS 子系统
内核区域虚拟化 NIC 驱动程序
内核区域虚拟化 NIC 驱动程序
Sun ZFS Storage Appliance Kit (AK)
IPC Frameworks
远程管理后台进程
Smartcard 库
Sun ZFS Storage Appliance Kit (AK)
User Interface 子系统
Solaris Cluster
NAS 设备添加
CVE- 分配给&Ebbisland&。自 2012 年 1 月 26 日以来安装了任何内核补丁或者通过修补工具更新的 Solaris 10系统不受影响。而且,任何安装了 Solaris 10 1/13 (Solaris 10 Update 11) 的 Solaris 10 系统都不会受影响。Solaris 11 不受此问题的影响。
CVE- 分配给&Extremeparr&。
下面是解决的其他 CVE:
CVE- 修复程序还解决了 CVE-。
附录 & Oracle Linux 和 Oracle 虚拟化
Oracle 虚拟化执行概要
该重要补丁更新包含 15 个针对 Oracle 虚拟化的新安全修复程序。其中 6 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。可获取此风险表的英语文本形式。
Oracle 虚拟化风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
Secure Global Desktop
Window 系统 (X11)
4.71、5.2、5.3
Oracle VM VirtualBox
5.0.38 之前的版本、5.1.20 之前的版本
Oracle VM VirtualBox
5.0.38 之前的版本、5.1.20 之前的版本
Oracle VM VirtualBox
5.0.38 之前的版本、5.1.20 之前的版本
Oracle VM VirtualBox
5.0.38 之前的版本、5.1.20 之前的版本
Oracle VM VirtualBox
Shared Folder
5.0.38 之前的版本、5.1.20 之前的版本
Oracle VM VirtualBox
5.0.38 之前的版本、5.1.20 之前的版本
Oracle VM VirtualBox
5.0.38 之前的版本、5.1.20 之前的版本
Oracle VM VirtualBox
Shared Folder
5.0.34 之前的版本、5.1.16 之前的版本
Secure Global Desktop
核心 (OpenSSL)
4.71、5.2、5.3
Secure Global Desktop
Window 系统 (X11)
Secure Global Desktop
核心 (LibcURL)
Secure Global Desktop
Web 服务器 (Apache HTTP Server)
4.71、5.2、5.3
Secure Global Desktop
应用服务器 (Apache Tomcat)
4.71、5.2、5.3
Oracle VM VirtualBox
5.0.38 之前的版本、5.1.20 之前的版本
& 下面是解决的其他 CVE:
CVE- 修复程序还解决了 CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE- 和 CVE-。
CVE- 修复程序还解决了 CVE-、CVE-、CVE-、CVE-、CVE-、CVE- 和 CVE-。
CVE- 修复程序还解决了 CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE- 和 CVE-。
CVE- 修复程序还解决了 CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE- 和 CVE-。
附录 & Oracle MySQL
Oracle MySQL 执行概要
该重要补丁更新包含 40 个针对 Oracle MySQL 的新安全修复程序。其中 11 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。可获取此风险表的英语文本形式。
Oracle MySQL 风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
MySQL Enterprise Monitor
监视:常规 (Struts 2)
MySQL 协议
3.1.6.8003 及早期版本、3.2.1182 及早期版本、3.3.2.1162 及早期版本
MySQL Workbench
Workbench:安全:加密 (OpenSSL)
MySQL 协议
6.3.8 及早期版本
MySQL Connectors
Connector/J
MySQL 协议
5.1.40 及早期版本
MySQL Enterprise Monitor
监视:服务器
MySQL 协议
3.1.6.8003 及早期版本、3.2.1182 及早期版本、3.3.2.1162 及早期版本
MySQL Enterprise Backup
备份:ENTRBACK (OpenSSL)
MySQL 协议
3.12.2 及早期版本、4.0.1 及早期版本
MySQL Workbench
Workbench:安全:加密 (OpenSSL)
MySQL 协议
6.3.7 及早期版本
MySQL Server
服务器:DML
MySQL 协议
5.5.54 及早期版本、5.6.35 及早期版本、5.7.17 及早期版本
MySQL Server
服务器:优化器
MySQL 协议
5.5.54 及早期版本、5.6.35 及早期版本、5.7.17 及早期版本
MySQL Server
服务器:Memcached
MySQL 协议
5.6.35 及早期版本、5.7.17 及早期版本
MySQL Server
服务器:可插拔身份验证
MySQL 协议
5.6.35 及早期版本、5.7.17 及早期版本
MySQL Server
服务器:线程池
MySQL 协议
5.5.54 及早期版本、5.6.35 及早期版本、5.7.17 及早期版本
MySQL Server
客户端 mysqldump
MySQL 协议
5.5.54 及早期版本、5.6.35 及早期版本、5.7.17 及早期版本
参见注释 1
MySQL Enterprise Monitor
监视:常规 (Apache Commons FileUpload)
MySQL 协议
3.1.6.8003 及早期版本、3.2.1182 及早期版本、3.3.2.1162 及早期版本
MySQL Server
服务器:DML
MySQL 协议
5.7.11 至 5.7.17
MySQL Server
服务器:优化器
MySQL 协议
5.5.54 及早期版本、5.6.35 及早期版本、5.7.17 及早期版本
MySQL Server
服务器:优化器
MySQL 协议
5.6.35 及早期版本
MySQL Connectors
Connector/J
MySQL 协议
5.1.41 及早期版本
MySQL Enterprise Backup
备份:ENTRBACK (OpenSSL)
MySQL 协议
3.12.3 及早期版本、4.0.3 及早期版本
MySQL Enterprise Monitor
监视:常规 (OpenSSL)
MySQL 协议
3.1.6.8003 及早期版本、3.2.1182 及早期版本、3.3.2.1162 及早期版本
MySQL Server
服务器:InnoDB
MySQL 协议
5.7.17 及早期版本
MySQL Cluster
MySQL 协议
7.2.27 及早期版本、7.3.16 及早期版本、7.4.14 及早期版本、7.5.5 及早期版本
MySQL Server
服务器:安全:权限
MySQL 协议
5.7.17 及早期版本
MySQL Server
服务器:C API
MySQL 协议
5.5.55 及早期版本、5.6.35 及早期版本
MySQL Server
服务器:C API
MySQL 协议
5.5.54 及早期版本、5.6.20 及早期版本
MySQL Server
服务器:审计插件
MySQL 协议
5.7.17 及早期版本
MySQL Server
服务器:DML
MySQL 协议
5.5.54 及早期版本、5.6.35 及早期版本、5.7.17 及早期版本
MySQL Server
服务器:DML
MySQL 协议
5.7.17 及早期版本
MySQL Server
服务器:DML
MySQL 协议
5.7.17 及早期版本
MySQL Server
服务器:优化器
MySQL 协议
5.7.17 及早期版本
MySQL Server
服务器:安全:权限
MySQL 协议
5.5.54 及早期版本、5.6.35 及早期版本、5.7.17 及早期版本
MySQL Server
服务器:安全:权限
MySQL 协议
5.5.54 及早期版本、5.6.35 及早期版本、5.7.17 及早期版本
MySQL Server
服务器:安全:权限
MySQL 协议
5.5.54 及早期版本、5.6.35 及早期版本、5.7.17 及早期版本
MySQL Server
服务器:DDL
MySQL 协议
5.5.54 及早期版本、5.6.35 及早期版本、5.7.17 及早期版本
MySQL Server
服务器:安全:权限
MySQL 协议
5.7.17 及早期版本
MySQL Server
服务器:C API
MySQL 协议
5.7.17 及早期版本
MySQL Workbench
Workbench:安全:加密
MySQL 协议
6.3.8 及早期版本
MySQL Connectors
Connector/J
MySQL 协议
5.1.41 及早期版本
MySQL Connectors
Connector/Python
2.1.5 及早期版本
MySQL Enterprise Monitor
监视:服务器
MySQL 协议
3.1.6.8003 及早期版本、3.2.1182 及早期版本、3.3.2.1162 及早期版本
MySQL Server
服务器:安全:加密
MySQL 协议
5.7.17 及早期版本
CVE- 等同于 CVE-。
下面是解决的其他 CVE:
CVE- 修复程序还解决了 CVE-、CVE-、CVE- 和 CVE-。
CVE- 修复程序还解决了 CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE- 和 CVE-。
CVE- 修复程序还解决了 CVE- 和 CVE-。
CVE- 修复程序还解决了 CVE- 和 CVE-。
& 附录 & Oracle 支持工具 Oracle 支持工具执行概要
该重要补丁更新包含 13 个针对 Oracle 支持工具的新安全修复程序。其中 4 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。可获取此风险表的英语文本形式。
Oracle 支持工具风险表
无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅)
受影响的支持版本
攻击 复杂性
自动服务请求 (ASR)
ASR Manager
5.7 之前的版本
自动服务请求 (ASR)
ASR Manager
5.7 之前的版本
自动服务请求 (ASR)
ASR Manager
5.7 之前的版本
自动服务请求 (ASR)
ASR Manager
5.7 之前的版本
自动服务请求 (ASR)
ASR Manager
5.7 之前的版本
OSS Support Tools
Oracle Explorer (OpenSSL)
RDA 8.15.17.3.14 之前的版本
Oracle Advanced Support Gateway
Samba 服务
7.2 之前的版本
自动服务请求 (ASR)
ASR Manager
5.7 之前的版本
自动服务请求 (ASR)
ASR Manager
5.7 之前的版本
自动服务请求 (ASR)
ASR Manager
5.7 之前的版本
自动服务请求 (ASR)
ASR Manager
5.7 之前的版本
自动服务请求 (ASR)
ASR Manager
5.7 之前的版本
Oracle Trace File Analyzer (TFA)
TFA Collector
12.1.2.8.4 之前的版本
& 下面是解决的其他 CVE:
CVE- 修复程序还解决了 CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE-、CVE- 和 CVE-。
关于甲骨文
Integrated Cloud Applications & Platform Services
