20号凌晨,oracle发了一封邮件给其客户
邮件内链接:
https://www.oracle.com/security-alerts/alert-cve-2022-21500.html
以下为中文翻译:
Oracle 安全警报公告 - CVE-2022-21500
描述
此安全警报解决了漏洞 CVE-2022-21500,该漏洞会影响 Oracle E-Business Suite 的某些部署。该漏洞无需身份验证即可远程利用,即无需用户名和密码即可通过网络利用该漏洞。如果成功利用,此漏洞可能会导致个人身份信息 (PII) 泄露。
Oracle 强烈建议客户尽快应用此安全警报提供的更新。
Oracle SaaS 云环境不受此漏洞影响。此漏洞可能会影响 Oracle 托管云服务客户的电子商务套件部署。Oracle 托管云服务客户应咨询其客户团队寻求帮助。
受影响的产品和补丁信息
此安全警报解决的安全漏洞会影响下列产品。产品区域显示在补丁可用性文档列中。
请单击下面“补丁可用性文档”列中的链接以访问文档以获取补丁可用性信息和安装说明。
| 受影响的产品和版本 | 补丁可用性文档 |
|---|---|
| Oracle 电子商务套件,版本 12.1、12.2 | 甲骨文电子商务套件 |
安全警报支持的产品和版本
通过安全警报计划发布的补丁仅适用于终身支持政策的首要支持或扩展支持阶段涵盖的产品版本 。Oracle 建议客户计划产品升级,以确保通过安全警报计划发布的补丁适用于他们当前运行的版本。
不在 Premier Support 或 Extended Support 范围内的产品版本未测试是否存在此安全警报所解决的漏洞。但是,受影响版本的早期版本也可能受到这些漏洞的影响。因此,Oracle 建议客户升级到受支持的版本。
数据库、融合中间件、Oracle Enterprise Manager 产品根据 My Oracle Support 说明 209768.1中说明的软件错误纠正支持策略进行修补。请查看技术支持政策 ,了解有关支持政策和支持阶段的进一步指南。
参考
- Oracle 重要补丁更新、安全警报和公告
- Oracle 重要补丁更新和安全警报 - 常见问题
- 风险矩阵定义
- Oracle 使用通用漏洞评分系统 (CVSS)
- 风险矩阵的英文文本
- CVRF XML 版本的风险矩阵
- CSAF JSON 版本的风险矩阵
- CVE 到咨询/警报的映射
- Oracle 终身支持政策
- JEP 290 参考黑名单过滤器
风险矩阵内容
风险矩阵仅列出与此公告相关的补丁新解决的安全漏洞。以前的安全补丁的风险矩阵可以在 以前的重要补丁更新公告和警报中找到。本文档中提供的风险矩阵的英文版本在 此处。
使用 CVSS 3.1 版对安全漏洞进行评分(有关 Oracle 如何应用 CVSS 3.1 版的说明, 请参阅Oracle CVSS 评分)。
Oracle 对安全警报解决的每个安全漏洞进行分析。Oracle 不会向客户披露有关此安全分析的详细信息,但由此产生的风险矩阵和相关文档提供了有关漏洞类型、利用它所需的条件以及成功利用的潜在影响的信息。Oracle 提供此信息的部分原因是,客户可以根据其产品使用的具体情况进行自己的风险分析。有关详细信息,请参阅Oracle 漏洞披露政策。
Oracle 在产品风险矩阵下方列出了解决第三方组件漏洞的更新,这些漏洞在包含在其各自 Oracle 产品中的上下文中是不可利用的。
风险矩阵中的协议意味着它的所有安全变体(如果适用)也会受到影响。例如,如果 HTTP 被列为受影响的协议,则意味着 HTTPS(如果适用)也受到影响。仅当协议的安全变体是唯一受影响的变体时,它才会在风险矩阵中列出 ,例如,HTTPS 通常会针对 SSL 和 TLS 中的漏洞列出。
信用声明
以下人员或组织向 Oracle 报告了此安全警报解决的安全漏洞:
- Ahmed L Shnawy: CVE-2022-21500
- Bhat Muneeb: CVE-2022-21500
- kirti soni: CVE-2022-21500
- Niteen Kale: CVE-2022-21500
- Owais Lone: CVE-2022-21500
- ract hack: CVE-2022-21500
- SaschA: CVE-2022-21500
- Vivek Kashyap: CVE-2022-21500
修改历史
| 日期 | 笔记 |
|---|---|
| 2022-5-19 | 修订版 1. 初始版本。 |
Oracle E-Business Suite 风险矩阵
此安全警报包含 1 个适用于 Oracle E-Business Suite 的新安全补丁。此漏洞无需身份验证即可远程利用,即无需用户凭据即可通过网络利用该漏洞。此风险矩阵的英文文本形式可在此处找到。
| CVE# | 产品 | 零件 | 协议 | 没有身份验证的远程 攻击? | CVSS 版本 3.1 风险(参见风险矩阵定义) | 受影响的受支持版本 | 笔记 | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 基础 分数 | 攻击 向量 | 攻击 复合体 | 要求的隐私 | 用户 互动 | 范围 | 保密 _ | 诚信 _ | 可用性 _ | |||||||
| CVE-2022-21500 | 甲骨文电子商务套件 | 管理代理 | HTTP | 是的 | 7.5 | 网络 | 低 | 无 | 无 | 未 更改 | 高 | 无 | 无 | 12.1, 12.2 | 见注 1 |
注:
- 成功攻击需要身份验证,但用户可能是自行注册的。
