情資內容

Oracle公司於2019/04/19(美國時間)發布多項系統之安全更新，下列三項漏洞已有攻擊程式，請盡速更新。 項次一、CVE-2019-2616 概述 Oracle Fusion 中介軟體(子元件:BI Publisher Security)的 BI Publisher(以前稱為 XML Publisher)組件中的漏洞，允許未經身份驗證且可存取網路的攻擊者，經由HTTP 來入侵 BI Publisher。攻擊可能會對其他產品產生重大影響。成功利用此漏洞將可對某些 BI Publisher可存取的資料，進行未經授權的更新、插入或刪除作業，以及對 BI Publisher(以前稱為 XML Publisher)可 存取的部分資料，進行未經授權的讀取。 影響版本/型號: 受影響軟體版本如下 11.1.1.9.0、12.2.1.3.0及12.2.1.4.0 影響程度:高 CVSS向量: 使用版本：CVSS 3.0 分析分數：7.2 分析向量：AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N 因應對策or建議措施 1. 請升級至不含此漏洞之版本 項次二及三：CVE-2019-2697及CVE-2019-2698 概述 Oracle Java SE 的 Java SE 元件(子元件:2D)存在漏 洞，允許未經身份驗證且可存取網路的攻擊者，可經由 多種協定來入侵 Java SE。成功利用此漏洞將可導致 Java SE 遭接管。 註:此漏洞適用於特定的 Java 部署，通常為在客戶端 於沙盒執行的 Java Web Start 應用程序或 Java applet (在 Java SE 8 中)，其會載入和執行不受信任的程式 碼(例如，來自 Internet 的程式碼)，並依賴於 Java 沙 箱的安全機制。此漏洞不適用於僅部署受信任程式碼 (例如，管理員安裝的程式碼)的 Java 部署(通常在 伺服器中)。 影響版本/型號: 受影響軟體版本如下 Java SE：7u211及8u202 影響程度:高 CVSS向量: 使用版本：CVSS 3.0 分析分數：8.1 分析向量：AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H 因應對策or建議措施 1. 請升級至不含此漏洞之版本 參考連結 1. https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html 2. https://www.exploit-db.com/exploits/46729 3. https://www.exploit-db.com/exploits/46722 4. https://www.exploit-db.com/exploits/46723 建議措施： 參考資料： 影響平台：