商用软件大厂甲骨文本周发布今年第二季安全更新,修补包括520项漏洞,包括2项风险值10的重大漏洞。
本季修补的漏洞涵盖甲骨文31项产品。500多项漏洞中,包括77个重大漏洞及141项高风险漏洞,占比各为14.8%及27.1%。
而在重大漏洞中有2项被判定风险值为最高的10分,分别是CVE-2022-22947及CVE-2022-21431。CVE-2022-22947影响Oracle Communications产品,当产品中打开Spring Cloud Gateway端点,远程攻击者就可发送恶意HTTP调用开采,而在主机上执行任意程序代码。CVE-2022-21431则影响Oracle Communications Billing及Revenue Management。未经授权的攻击者可送TCP调用开采来接管这两项产品,不过甲骨文表示,本漏洞也可能影响其他产品。
本季安全更新也修补了SpringShell漏洞CVE-2022-22965。
一项编号CVE-2022-21449的漏洞,成功攻击可让黑客添加、删除或修改访问Oracle Java SE(15到18版)、Oracle Java SE订阅服务中的Oracle GraalVM Enterprise Edition。虽然甲骨文给予7.5的风险值,但有安全研究人员认为应达到10。
这次的更新也涵盖源自第三方组件的漏洞,包括2个新的Apache Log4j漏洞,分别是中度风险的CVE-2021-44832及高风险的CVE-2022-23305。
以数量而言,本季甲骨文修补的漏洞以Oracle Communications、Fusion Middleware最多,两者也分别有98个和41个可非授权远程开采的漏洞,超过所有其他产品。
其他修补的主要产品由漏洞数量来看,还包括Oracle MySQL、Oracle PeopleSoft、Hyperion、Supply Chain、Enterprise Manager、JD Edwards、Oracle Virtualization、Database Server、E-Business Suite等。