20号凌晨,oracle发了一封邮件给其客户
邮件内链接:
以下为中文翻译:
oracle 安全警报公告 - cve-2022-21500
描述
此安全警报解决了漏洞 cve-2022-21500,该漏洞会影响 oracle e-business suite 的某些部署。该漏洞无需身份验证即可远程利用,即无需用户名和密码即可通过网络利用该漏洞。如果成功利用,此漏洞可能会导致个人身份信息 (pii) 泄露。
oracle 强烈建议客户尽快应用此安全警报提供的更新。
oracle saas 云环境不受此漏洞影响。此漏洞可能会影响 oracle 托管云服务客户的电子商务套件部署。oracle 托管云服务客户应咨询其客户团队寻求帮助。
受影响的产品和补丁信息
此安全警报解决的安全漏洞会影响下列产品。产品区域显示在补丁可用性文档列中。
请单击下面“补丁可用性文档”列中的链接以访问文档以获取补丁可用性信息和安装说明。
| 受影响的产品和版本 | 补丁可用性文档 |
|---|---|
安全警报支持的产品和版本
的首要支持或扩展支持阶段涵盖的产品版本 。oracle 建议客户计划产品升级,以确保通过安全警报计划发布的补丁适用于他们当前运行的版本。
不在 premier support 或 extended support 范围内的产品版本未测试是否存在此安全警报所解决的漏洞。但是,受影响版本的早期版本也可能受到这些漏洞的影响。因此,oracle 建议客户升级到受支持的版本。
数据库、融合中间件、oracle enterprise manager 产品根据 中说明的软件错误纠正支持策略进行修补。请查看 ,了解有关支持政策和支持阶段的进一步指南。
参考
风险矩阵内容
风险矩阵仅列出与此公告相关的补丁新解决的安全漏洞。以前的安全补丁的风险矩阵可以在 中找到。本文档中提供的风险矩阵的英文版本在 。
使用 cvss 3.1 版对安全漏洞进行评分(有关 oracle 如何应用 cvss 3.1 版的说明, 请参阅
oracle 对安全警报解决的每个安全漏洞进行分析。oracle 不会向客户披露有关此安全分析的详细信息,但由此产生的风险矩阵和相关文档提供了有关漏洞类型、利用它所需的条件以及成功利用的潜在影响的信息。oracle 提供此信息的部分原因是,客户可以根据其产品使用的具体情况进行自己的风险分析。有关详细信息,请参阅。
oracle 在产品风险矩阵下方列出了解决第三方组件漏洞的更新,这些漏洞在包含在其各自 oracle 产品中的上下文中是不可利用的。
风险矩阵中的协议意味着它的所有安全变体(如果适用)也会受到影响。例如,如果 http 被列为受影响的协议,则意味着 https(如果适用)也受到影响。仅当协议的安全变体是唯一受影响的变体时,它才会在风险矩阵中列出 ,例如,https 通常会针对 ssl 和 tls 中的漏洞列出。
信用声明
以下人员或组织向 oracle 报告了此安全警报解决的安全漏洞:
- ahmed l shnawy: cve-2022-21500
- bhat muneeb: cve-2022-21500
- kirti soni: cve-2022-21500
- niteen kale: cve-2022-21500
- owais lone: cve-2022-21500
- ract hack: cve-2022-21500
- sascha: cve-2022-21500
- vivek kashyap: cve-2022-21500
修改历史
| 日期 | 笔记 |
|---|---|
| 2022-5-19 | 修订版 1. 初始版本。 |
oracle e-business suite 风险矩阵
此安全警报包含 1 个适用于 oracle e-business suite 的新安全补丁。此漏洞无需身份验证即可远程利用,即无需用户凭据即可通过网络利用该漏洞。此风险矩阵的英文文本形式可在
| cve# | 产品 | 零件 | 协议 | 没有身份验证的远程 攻击? | cvss 版本 3.1 风险(参见) | 受影响的受支持版本 | 笔记 | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 基础 分数 | 攻击 向量 | 攻击 复合体 | 要求的隐私 | 用户 互动 | 范围 | 保密 _ | 诚信 _ | 可用性 _ | |||||||
| cve-2022-21500 | 甲骨文电子商务套件 | 管理代理 | http | 是的 | 7.5 | 网络 | 低 | 无 | 无 | 未 更改 | 高 | 无 | 无 | 12.1, 12.2 | 见注 1 |
注:
- 成功攻击需要身份验证,但用户可能是自行注册的。