漏洞概述

Oracle官方于北美时间2020年7月14日发布了大规模安全补丁，涉及其旗下产品的433个漏洞。其中无需身份验证就可被远程利用的漏洞多达数百个，攻击者可利用这些漏洞发起未经授权更新等攻击，Oracle官方强烈建议用户更新安全补丁。

漏洞分析

Oracle产品广泛应用于各行业，其中Oracle数据库是目前世界上使用最广泛的数据库管理系统。在Oracle官方此次更新的漏洞补丁中，CVSS评分为9.8分的漏洞多达69个、CVSS评分高达10分的漏洞有两个。受本次漏洞影响的Oracle旗下产品包含：Oracle通信应用软件、Oracle 建筑和工程软件、Oracle 电子商务套件、Oracle 企业管理软件、Oracle 金融服务应用软件、Oracle Fusion 中间件、Oracle JD Edwards、Oracle MySQL、Oracle零售应用软件、Oracle SiebelCRM、Oracle 供应链软件、Oracle数据库服务器、Oracle GoldenGate等。

排查建议

目前，天融信脆弱性扫描与管理系统（漏扫）已支持对该系列漏洞的检测，详见下图 ：

天融信脆弱性扫描与管理系统针对该漏洞检查结果如下图所示：

排查方式：升级规则库至20200716以上版本。

产品特点

• 协同联动自动防护：与防火墙联动，自动生成防护规则，提高整体网络安全性。

• 可视化报表评估分析：预置弱口令、Web站点、系统主机和综述等多种报表模板，资产状态一目了然。

• 环境全面适应：支持对国产化系统、云计算平台、大数据组件等多种环境进行漏洞扫描。