My Oracle Support Banner

Oracle 数据库和中间件产品的安全漏洞常见问题 (Doc ID 2301393.1)

Last updated on AUGUST 21, 2019

适用于:

Oracle WebLogic Server - 版本 9.0 和更高版本
Oracle Fusion Middleware - 版本 10.1.2.0.0 和更高版本
Oracle Database - Enterprise Edition - 版本 10.1.0.5 和更高版本
Oracle Database Cloud Schema Service - 版本 N/A 和更高版本
Oracle Database Exadata Express Cloud Service - 版本 N/A 和更高版本
本文档所含信息适用于所有平台

用途

Oracle 安全警报和漏洞修复策略/过程

这篇文档提供了如何处理Oracle产品中可疑的漏洞相关信息。在此FAQ中提供的问题和答案都来源于以下Oracle安全网站:

重要补丁更新和安全警报
https://www.oracle.com/technetwork/topics/security/alerts-086861.html

安全漏洞修复政策和流程
https://www.oracle.com/corporate/security-practices/assurance/vulnerability/security-fixing.html

热门请求:

 

New! CVE-2019-2729 - Deserialization Vulnerability (2019)

以下针对Oracle WebLogic Server的安全警报已于2019年6月18日发布:

https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html

提供在2019年1月或2019年4月WLS PSU之上应用的补丁:

<Document 2555019.1>安全警报CVE-2019-2729适用于Oracle WebLogic Server的修补程序可用性文档

提供补丁以结合CVE-2019-2729和CVE-2019-2725修复(参见下面的4月26日警报)。

 

July 16, 2019 更新: CVE-2019-2729 和 CVE-2019-2725 的修复已经包含在 2019 7月发布的 PSU 补丁集里面. <Document 2534806.1>

- 10.3.6 版本上, 请先回退 CVE-2019-2729 的补丁和之前的PSU再安装最新的7月的PSU

- <Note 2566635.1> 描述了 12.1.3 到 12.2.1.3 版本上 CVE-2019-2729 的补丁和 7 月 PSU 冲突的问题。

 

常见问题:

为什么12.2.1.3的补丁与PSU冲突?
答:您可能已经下载了错误的补丁。确保选择与PSU匹配的版本,请参阅 <Document 2541027.1>了解修补程序版本。

我的版本未列出,例如10.3.5,12.1.2,12.2.1.0,12.2.1.1,12.2.1.2?
答:请参阅“警报”部分“支持的产品和版本”。要修复旧版本的漏洞,必须按照 <Document 950131.1> 进行升级。

有解决方法吗?
答:没有经过批准或Oracle认可的解决方法 - 唯一的解决方案是升级和/或应用补丁。

我已经为CVE-2019-2725应用了以前的Overlay Patch,为什么新补丁会发生冲突?
答:在10.3.6上,您需要先回滚旧的 Overlay Patch。

 

CVE-2019-2725 - Deserialization Vulnerability (2019)

下面的安全公告发布于 2019年4月26日。

https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html

同时发布了基于2019年1月和4月WLS PSU的单独的patch:

<Note 2535708.1> Security Alert CVE-2019-2725 Patch Availability Document for Oracle WebLogic Server

 

反序列化漏洞通用知识

Note 2421487.1 Restricting Incoming Serialized Java Objects to Oracle WebLogic Server - New with WLS PSUs

最重要的要采取的措施是安装 WLS PSU 和 Java 更新. 查看最新的 WLS PSU 更新: Note 1470197.1  查看最新JDK更新: Note 1492980.1

 

下面是之前已经发布安全公告安全漏洞,它们的修复已经累积包含在最新的CPU补丁:

 

CVE-2018-2628 - Deserialization Vulnerability (2018)
Note 2395745.1 Additional Information About the Oracle WebLogic Server Vulnerability CVE-2018-2628

 

CVE-2015-4852 - Deserialization Vulnerability(2015)

https://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html

<Note 2075927.1> CVE-2015-4852 Patch Availability Document for Oracle WebLogic Server Component of Oracle Fusion Middleware     
<Note 2076338.1> CVE-2015-4852 Mitigation Recommendations for Oracle WebLogic Server Component of Oracle Fusion Middleware

CVE-2014-3566 - SSL V3.0 "Poodle" Vulnerability(2014)

https://www.oracle.com/technetwork/topics/security/poodlecve-2014-3566-2339408.html

<Note 1936300.1> How to Change SSL Protocols (to Disable SSL 2.0/3.0) in Oracle WebLogic Server & Fusion Middleware Products

CVE-2014-0160 - OpenSSL Security Bug - Heartbleed(2014)

https://www.oracle.com/technetwork/topics/security/alert-cve-2014-0160-2190703.html

and
https://www.oracle.com/technetwork/topics/security/opensslheartbleedcve-2014-0160-2188454.html


重要: 这不是完整列表, 请参考上面的重要补丁更新和安全警报页面.

问题和答案

To view full details, sign in with your My Oracle Support account.

Don't have a My Oracle Support account? Click to get started!


文档内容
用途
 Oracle 安全警报和漏洞修复策略/过程
 热门请求:
 CVE-2019-2725 - Deserialization Vulnerability (2019)
 CVE-2015-4852 - Deserialization Vulnerability(2015)
 CVE-2014-3566 - SSL V3.0 "Poodle" Vulnerability(2014)
 CVE-2014-0160 - OpenSSL Security Bug - Heartbleed(2014)
问题和答案
 PART I: 所有Oracle产品的常见漏洞
 1.第一步
 2. 漏洞信息
 3. 扫描报告
 4. 研究某个CVE
 5. 怎样新开一个关于安全漏洞的Service Request
 PART II: WebLogic Serverc安全漏洞FAQ
 1. 第一步
 2. 安全最佳实践
 PART III: Oracle Fusion Middleware (10g/11g/12c)安全漏洞FAQ
 1. 第一步
 2. 安全最佳实践
 3. Apache 的安全漏洞
 4. Java 的安全漏洞
参考

My Oracle Support provides customers with access to over a million knowledge articles and a vibrant support community of peers and Oracle experts.