Oracle安全补丁发布通知-2018第三季度

2018年10月Oracle发布了第三季度的安全补丁，在这次发布的安全补丁中，我们重点关注下Oracle数据库方面修复的漏洞，以及结合我们的环境判断是否需要及时应用更新此类安全补丁。

1）3个是针对Oracle Database Server的安全补丁。这些漏洞在没有身份认证情况下是可被远程攻击的。即可在不需要用户认证的情况下利用网络被远程攻击。

2）1个是针对Oracle Big Data Graph的安全补丁。该漏洞在没有身份认证情况下是可被远程攻击的。即可在不需要用户认证的情况下利用网络被远程攻击。

3）3个是针对OracleGoldenGate的安全补丁。这些漏洞在没有身份认证情况下是可被远程攻击的。即可在不需要用户认证的情况下利用网络被远程攻击。

Oracle Database Server Risk Matrix

This Critical Patch Update contains 7new security fixes for the Oracle Database Server divided as follows:

• 3 new security fixes for the Oracle Database Server.  2 of thesevulnerabilities may be remotely exploitable without authentication, i.e., maybe exploited over a network without requiring user credentials.  None of thesefixes are applicable to client-only installations, i.e., installations that donot have the Oracle Database Server installed. The English text form of thisRisk Matrix can be found here[1].

• 1 new security fix for Oracle Big Data Graph.  This vulnerability isremotely exploitable without authentication, i.e., may be exploited over anetwork without requiring user credentials.  The English text form of thisRisk Matrix can be found here[2].

• 3 new security fixes for OracleGoldenGate.  All of these vulnerabilities may be remotely exploitable withoutauthentication, i.e., may be exploited over a network without requiring usercredentials.  The English text form of this Risk Matrix can be found here[3].

Additional CVEsaddressed are below:

• Thefix for CVE-2018-7489 also addresses CVE-2017-15095.

CVE-2018-3259：针对Java VM组件，受影响版本为11.2.0.4、12.1.0.2、12.2.0.1和18c。很容易利用该漏洞允许未经身份验证的攻击者通过多种协议与网络访问Java VM，成功攻击该漏洞最终导致的结果是Java VM被接管。

CVE-2018-3299：针对Text组件，受影响版本为11.2.0.4、12.1.0.2、12.2.0.1。很容易利用该漏洞允许未经身份验证的攻击者通过多种协议与网络访问Text。当该漏洞位于Oracle Text中时，成功攻击需要与攻击者以外的人进行人工交互，攻击可能显著影响其他产品。成功攻击该漏洞可能导致hang或频繁的crash，以及未经授权的更新、插入或删除Oracle Text。

CVE-2018-7489：针对Rapid HomeProvisioning组件，受影响版本为18c。

Oracle Big Data Graph Risk Matrix

This Critical PatchUpdate contains 1 new security fix for Oracle Big Data Graph.  Thisvulnerability is remotely exploitable without authentication, i.e., may beexploited over a network without requiring user credentials.  The Englishtext form of this Risk Matrix can be found here[4].

Oracle GoldenGate Risk Matrix

This Critical PatchUpdate contains 3 new security fixes for Oracle GoldenGate.  All of thesevulnerabilities may be remotely exploitable without authentication, i.e., maybe exploited over a network without requiring user credentials.  TheEnglish text form of this Risk Matrix can be found here[5].

Notes:

1.For Linux and Windows platforms, the CVSSscore is 9.0 with Access Complexity as High. For all other platforms, the cvssscore is 10.0.

CVE-2018-2913：针对GoldenGate组件，受影响版本为12.1.2.1.0、12.2.0.2.0、12.3.0.1.0。很容易利用该漏洞允许未经身份验证的攻击者通过TCP网络访问GoldenGate。成功攻击该漏洞导致hang或频繁crash。

CVE-2018-2912：针对GoldenGate组件，受影响版本为12.1.2.1.0、12.2.0.2.0、12.3.0.1.0。很容易利用该漏洞允许未经身份验证的攻击者通过TCP网络访问GoldenGate。当漏洞是在GoldenGate中时，攻击可能会显著影响其他产品。成功攻击该漏洞最终导致的结果是GoldenGate被接管。

CVE-2018-2914：针对GoldenGate组件，受影响版本为12.1.2.1.0、12.2.0.2.0、12.3.0.1.0。很容易利用该漏洞允许未经身份验证的攻击者通过TCP网络访问GoldenGate。成功攻击该漏洞导致hang或频繁crash。

参考链接：

[1] https://www.oracle.com/technetwork/security-advisory/cpuoct2018verbose-5170927.html#DB

[2] https://www.oracle.com/technetwork/security-advisory/cpuoct2018verbose-5170927.html#BGDG

[3] https://www.oracle.com/technetwork/security-advisory/cpuoct2018verbose-5170927.html#GG

[4] https://www.oracle.com/technetwork/security-advisory/cpuoct2018verbose-5170927.html#BGDG

[5] https://www.oracle.com/technetwork/security-advisory/cpuoct2018verbose-5170927.html#GG