My Oracle Support Banner

Oracle 数据库和中间件产品的安全漏洞常见问题 (Doc ID 2301393.1)

Last updated on MAY 18, 2020

适用于:

Oracle WebLogic Server - 版本 9.0 和更高版本
Oracle Fusion Middleware - 版本 10.1.2.0.0 和更高版本
Oracle Database - Enterprise Edition - 版本 10.1.0.5 和更高版本
Oracle Database Cloud Schema Service - 版本 N/A 和更高版本
Oracle Database Exadata Express Cloud Service - 版本 N/A 和更高版本
本文档所含信息适用于所有平台



用途

Oracle 安全警报和漏洞修复策略/过程

这篇文档提供了如何处理Oracle产品中可疑的漏洞相关信息。在此FAQ中提供的问题和答案都来源于以下Oracle安全网站:

重要补丁更新和安全警报
https://www.oracle.com/technetwork/topics/security/alerts-086861.html

安全漏洞修复政策和流程
https://www.oracle.com/corporate/security-practices/assurance/vulnerability/security-fixing.html

热门请求:


CVE-2020-2883

该CVE包含在2020年4月的Oracle安全通报中:

https://www.oracle.com/security-alerts/cpuapr2020.html
Oracle强烈建议您更新Java,应用WLS PSU,并遵循强化建议以保护T3 / T3S协议。

2020年4月的Doc ID 2633852.1概述了这些以及其他确保服务器安全的要求:

第3.3.47节“ Oracle WebLogic Server”-适用于10.3.6、12.1.3、12.2.1.3、12.2.1.4。请参阅警报部分,“受支持的产品和版本”。要修复旧版本上的漏洞,必须按照<Note 950131.1>进行升级。

一般的反序列化漏洞
1.请参阅WLS PSU随附的以下文档:

Note 2421487.1 Restricting Incoming Serialized Java Objects to Oracle WebLogic Server - New with WLS PSUs


2. Oracle强烈建议您使用以下文档中介绍的安全最佳实践来强化环境:

Note 2665794.1 How To Restrict T3/T3S Protocol Traffic for WebLogic Server
Note 2664435.1 How to Restrict T3/T3S Protocol Traffic for Java Cloud Service

 

以下CVE在最新的WLS PSU和JDK更新中已累积更新:

 

CVE-2019-2729 - Deserialization Vulnerability (2019)

以下针对Oracle WebLogic Server的安全警报已于2019年6月18日发布:

https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html

提供在2019年1月或2019年4月WLS PSU之上应用的补丁:

<Document 2555019.1>安全警报CVE-2019-2729适用于Oracle WebLogic Server的修补程序可用性文档

提供补丁以结合CVE-2019-2729和CVE-2019-2725修复(参见下面的4月26日警报)。

 

July 16, 2019 更新: CVE-2019-2729 和 CVE-2019-2725 的修复已经包含在 2019 7月发布的 PSU 补丁集里面. 

最新版本的 PSU 请查看 <Note 1470197.1> Patch Set Update (PSU) Release Listing for Oracle WebLogic Server (WLS)

 

常见问题:

答:

- 10.3.6 版本上, 请先回退 CVE-2019-2729 的补丁和之前的PSU再安装最新的7月的PSU. 在 12C 版本,后续版本的补丁集都是前面所有版本的积累补丁集,OPatch 不会提示冲突信息。
- <Note 2566635.1> 描述了 12.1.3 到 12.2.1.3 版本上 CVE-2019-2729 的补丁和 7 月 PSU 冲突的问题。 它说:“此问题是使用不同的错误号来跟踪一个临时补丁并将相同的修补程序包含在PSU中的结果”。在所有版本中,请参见“漏洞修复”列表的修补程序自述文件,以确认累积包含哪些修复程序。所有版本的正确操作是回滚以前的补丁程序并应用新的累积PSU。

 

答:请参阅“警报”部分“支持的产品和版本”。要修复旧版本的漏洞,必须按照 <Document 950131.1> 进行升级。

答:没有经过批准或Oracle认可的解决方法 - 唯一的解决方案是升级和/或应用补丁。

 

CVE-2019-2725 - Deserialization Vulnerability (2019)

下面的安全公告发布于 2019年4月26日。

https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html

同时发布了基于2019年1月和4月WLS PSU的单独的patch:

<Note 2535708.1> Security Alert CVE-2019-2725 Patch Availability Document for Oracle WebLogic Server

 

CVE-2018-2628 - Deserialization Vulnerability (2018)

Note 2395745.1 Additional Information About the Oracle WebLogic Server Vulnerability CVE-2018-2628

 

CVE-2015-4852 - Deserialization Vulnerability(2015)

https://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html

<Note 2075927.1> CVE-2015-4852 Patch Availability Document for Oracle WebLogic Server Component of Oracle Fusion Middleware     
<Note 2076338.1> CVE-2015-4852 Mitigation Recommendations for Oracle WebLogic Server Component of Oracle Fusion Middleware

CVE-2014-3566 - SSL V3.0 "Poodle" Vulnerability(2014)

https://www.oracle.com/technetwork/topics/security/poodlecve-2014-3566-2339408.html

<Note 1936300.1> How to Change SSL Protocols (to Disable SSL 2.0/3.0) in Oracle WebLogic Server & Fusion Middleware Products

CVE-2014-0160 - OpenSSL Security Bug - Heartbleed(2014)

https://www.oracle.com/technetwork/topics/security/alert-cve-2014-0160-2190703.html

and
https://www.oracle.com/technetwork/topics/security/opensslheartbleedcve-2014-0160-2188454.html


重要: 这不是完整列表, 请参考上面的重要补丁更新和安全警报页面.

问题和答案

To view full details, sign in with your My Oracle Support account.

Don't have a My Oracle Support account? Click to get started!


文档内容
用途
 Oracle 安全警报和漏洞修复策略/过程
 热门请求:
 CVE-2019-2725 - Deserialization Vulnerability (2019)
 CVE-2015-4852 - Deserialization Vulnerability(2015)
 CVE-2014-3566 - SSL V3.0 "Poodle" Vulnerability(2014)
 CVE-2014-0160 - OpenSSL Security Bug - Heartbleed(2014)
问题和答案
 PART I: 所有Oracle产品的常见漏洞
 1.第一步
 2. 漏洞信息
 3. 扫描报告
 4. 研究某个CVE
 5. 怎样新开一个关于安全漏洞的Service Request
 PART II: WebLogic Serverc安全漏洞FAQ
 1. 第一步
 2. 安全最佳实践
 PART III: Oracle Fusion Middleware (10g/11g/12c)安全漏洞FAQ
 1. 第一步
 2. 安全最佳实践
 3. Apache 的安全漏洞
 4. Java 的安全漏洞
参考

My Oracle Support provides customers with access to over a million knowledge articles and a vibrant support community of peers and Oracle experts.