| 風險等級: | 高度威脅 |
| 摘 要: | 弱點通告:Oracle 近日發布更新以解決多個產品的安全性弱點,建議請管理者儘速評估更新! |
| 影響系統: |
|
| 解決辦法: | 本次列出弱點請參考官網更新至建議最新版本,其它列出弱點詳細資訊請參考官網說明。 (https://www.oracle.com/security-alerts/cpuoct2021.html) (1) Oracle Essbase 的 Essbase Administration Services (EAS) 11.1.2.4.046 (含)之後版本。 (2) Oracle XStream 14.6 (含)之後版本。 (3) Oracle Communications Pricing Design Center 12.0.0.3.0 (含)之後版本。 |
| 細節描述: | Oracle 近日發布更新,以解決多個產品的安全性弱點,遠端攻擊者可利用部分弱點控制受影響的系統。(1) Oracle Essbase 的 Essbase Administration Services (EAS) 產品存在弱點。該弱點允許未經身份驗證攻擊者藉由 HTTP 存取服務來破壞 EAS 系統,進而可能導致 Essbase 管理服務被成功控制。 (2) Oracle 的 Java 函式庫 XStream 存在權限驗證弱點。該弱點可能允許具有足夠權限的遠端攻擊者藉由操縱處理後的輸入流(input stream) 來執行主機指令以控制系統。 (3) Oracle 的 Python (版本3.9.1) 組譯檔 _ctypes/callproc.c 中的 PyCArg_repr 存在緩衝區溢出弱點。這可能導致部份可輸入浮點數的 Python 應用程序中遠端執行程式碼,進而控制受影響的系統。 其它弱點請參考官網連結列出的建議措施,目前已知多個軟體版本受到影響。 |
| 參考資訊: | US-cert Oracle (October 2021) |