更新時間:2019/04/26 01:40:31
發佈時間:2019/04/26 01:40:31
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
Oracle公司於2019/04/19(美國時間)發布多項系統之安全更新,下列三項漏洞已有攻擊程式,請盡速更新。
項次一、CVE-2019-2616
概述
Oracle Fusion 中介軟體(子元件:BI Publisher Security)的 BI Publisher(以前稱為 XML Publisher)組件中的漏洞,允許未經身份驗證且可存取網路的攻擊者,經由HTTP 來入侵 BI Publisher。攻擊可能會對其他產品產生重大影響。成功利用此漏洞將可對某些 BI Publisher可存取的資料,進行未經授權的更新、插入或刪除作業,以及對 BI Publisher(以前稱為 XML Publisher)可
存取的部分資料,進行未經授權的讀取。
影響版本/型號:
受影響軟體版本如下
11.1.1.9.0、12.2.1.3.0及12.2.1.4.0
影響程度:高
CVSS向量:
使用版本:CVSS 3.0
分析分數:7.2
分析向量:AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
因應對策or建議措施
1. 請升級至不含此漏洞之版本
項次二及三:CVE-2019-2697及CVE-2019-2698
概述
Oracle Java SE 的 Java SE 元件(子元件:2D)存在漏 洞,允許未經身份驗證且可存取網路的攻擊者,可經由 多種協定來入侵 Java SE。成功利用此漏洞將可導致 Java SE 遭接管。
註:此漏洞適用於特定的 Java 部署,通常為在客戶端 於沙盒執行的 Java Web Start 應用程序或 Java applet (在 Java SE 8 中),其會載入和執行不受信任的程式 碼(例如,來自 Internet 的程式碼),並依賴於 Java 沙 箱的安全機制。此漏洞不適用於僅部署受信任程式碼 (例如,管理員安裝的程式碼)的 Java 部署(通常在 伺服器中)。
影響版本/型號:
受影響軟體版本如下
Java SE:7u211及8u202
影響程度:高
CVSS向量:
使用版本:CVSS 3.0
分析分數:8.1
分析向量:AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
因應對策or建議措施
1. 請升級至不含此漏洞之版本
參考連結
1. https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
2. https://www.exploit-db.com/exploits/46729
3. https://www.exploit-db.com/exploits/46722
4. https://www.exploit-db.com/exploits/46723
建議措施:
參考資料:
影響平台:
情資編號:
FISAC-201904-0006
系統目錄:
資安漏洞
資安類別:
資安訊息情資 / 其他
影響等級:
3
關鍵字:
弱點漏洞