Oracle 重要补丁更新公告 — 2018 年 7 月

说明

重要补丁更新是针对多个安全漏洞的补丁集合。重要补丁更新补丁通常是累积式的,但是每个公告只描述自上一个重要补丁更新公告以来添加的安全修复程序。因此,要了解有关以前发布的安全修复程序的信息,应该查看以前的重要补丁更新公告。请参见: 

Oracle 将继续定期接收企图恶意利用 Oracle 已经针对其发布了修复程序的安全漏洞的报告。据报告可知,有些情况下由于目标客户未能应用可用的 Oracle 补丁,攻击者取得了成功。因此,Oracle 强烈建议客户继续使用受积极支持的版本,刻不容缓地应用重要补丁更新修复程序。

这个重要补丁更新包含针对下列产品系列的 334 个新的安全修复程序。请注意,2018 年 7 月重要补丁更新:执行概要和分析上的一个 MOS 说明总结了这个重要补丁更新的内容以及其他 Oracle 软件安全性保障活动。

许多业界专家预测,在可以预见的未来,将继续披露利用现代处理器设计中已知缺陷的漏洞(即,“Spectre”变体)。有关这些问题的信息,请参阅:

  • 2018 年 1 月重要补丁更新(及更高版本)公告,
  • “2018 年 1 月重要补丁更新公告关于 Spectre(CVE-2017-5715、CVE-2017-5753)和 Meltdown (CVE-2017-5754) 的补充说明”(文档 ID 2347948.1)以及
  • “有关处理器漏洞的信息 CVE-2018-3640(“Spectre v3a”)和 CVE-2018-3639(“Spectre v4”)”(文档 ID 2399123.1)。

 

受影响的产品和版本

该重要补丁更新解决的安全漏洞影响下面列出的产品。“可用补丁文档”列中显示了产品领域。请点击下面的“可用补丁文档”列中的链接,查看有关可用补丁信息和安装说明的文档。

受影响的产品和版本 可用补丁文档
Agile Recipe Management for Pharmaceuticals,版本 9.3.4 Oracle Supply Chain 产品
Enterprise Manager Base Platform,版本 12.1.0.5、13.2.x Enterprise Manager
适用于融合中间件的 Enterprise Manager,版本 12.1.0.5、13.2.x Enterprise Manager
适用于 MySQL Database 的 Enterprise Manager,版本 13.2.2.0.0 及之前的版本 Enterprise Manager
适用于 Oracle 数据库的 Enterprise Manager,版本 12.1.0.8、13.2.2 Enterprise Manager
适用于 Peoplesoft 的 Enterprise Manager,版本 13.1.1.1、13.2.1.1 Enterprise Manager
适用于虚拟化的 Enterprise Manager,版本 13.2.2、13.2.3 Enterprise Manager
Enterprise Manager Ops Center,版本 12.2.2、12.3.3 Enterprise Manager
融合中间件平台,版本 12.2.1.2.0、12.2.1.3.0 融合中间件
Hardware Management Pack,版本 11.3 系统
Hyperion Data Relationship Management,版本 11.1.2.4.330 融合中间件
Hyperion Financial Reporting,版本 11.1.2 融合中间件
JD Edwards EnterpriseOne Tools,版本 9.2 JD Edwards
JD Edwards World Security,版本 A9.3、A9.3.1、A9.4 JD Edwards
MICROS 700 系列平板电脑,BIOS 0.00.13ORC 之前的版本、BIOS 0.01.25ORC 之前的版本 MICROS 700 系列平板电脑
MICROS 手持终端,版本 2018、Android 4.4.4,2 月 1 日之前的安全补丁公告 MICROS 手持终端
MICROS 厨房显示控制器,BIOS 0.00.16ORC 之前的版本 MICROS 厨房显示系统硬件
MICROS Lucas,版本 2.9.5.3、2.9.5.4、2.9.5.5、2.9.5.6 零售应用
MICROS Relate CRM Software,版本 10.8.x、11.4.x 零售应用
MICROS Retail-J,版本 10.2.x、11.0.x、12.0.x、12.1.x、12.1.1.x、12.1.2.x、13.1.x 零售应用
MICROS Workstation 6,BIOS 1.3.1.0 之前的版本、BIOS 1.5.2.0 之前的版本、BIOS 2.3.1.0 之前的版本 MICROS 工作站
MICROS XBR,版本 7.0.2、7.0.4 零售应用
MySQL 客户端,版本 5.5.60 及之前的版本、5.6.40 及之前的版本、5.7.22 及之前的版本、8.0.11 及之前的版本 MySQL
MySQL Connectors,版本 5.3.10 及之前的版本、8.0.11 及之前的版本 MySQL
MySQL Enterprise Monitor,版本 3.4.7.4297 及之前的版本、4.0.4.5235 及之前的版本、8.0.0.8131 及之前的版本 MySQL
MySQL Server,版本 5.5.60 及之前的版本、5.6.40 及之前的版本、5.7.22 及之前的版本、8.0.11 及之前的版本 MySQL
MySQL Workbench,版本 6.3.10 及之前的版本、8.0.11 及之前的版本 MySQL
Oracle Agile Engineering Data Management,版本 6.1.3、6.2.0、6.2.1 Oracle Supply Chain 产品
Oracle Agile PLM,版本 9.3.3、9.3.4、9.3.5、9.3.6 Oracle Supply Chain 产品
Oracle Agile PLM MCAD Connector,版本 3.3、3.4、3.5、3.6 Oracle Supply Chain 产品
Oracle Agile Product Lifecycle Management for Process,版本 6.2.0.0 Oracle Supply Chain 产品
Oracle API Gateway,版本 11.1.2.4.0 融合中间件
Oracle Application Testing Suite,版本 10.1 Enterprise Manager
Oracle AutoVue VueLink Integration,版本 21.0.0、21.0.1 Oracle Supply Chain 产品
Oracle Banking Corporate Lending,版本 12.3.0、12.4.0、12.5.0、14.0.0、14.1.0 Oracle 金融服务应用
Oracle Banking Payments,版本 12.2.0、12.3.0、12.4.0、12.5.0、14.1.0 Oracle 金融服务应用
Oracle Banking Platform,版本 2.6.0、2.6.1、2.6.2 Oracle 银行业务平台
Oracle BI Publisher,版本 11.1.1.7.0、11.1.1.9.0、12.2.1.2.0、12.2.1.3.0 融合中间件
Oracle Business Process Management Suite,版本 11.1.1.7.0、11.1.1.9.0、12.1.3.0.0、12.2.1.2.0、12.2.1.3.0 融合中间件
Oracle Communications Diameter Signaling Router (DSR),版本 7.x、8.x Oracle Communications Diameter Signaling Router
Oracle Communications EAGLE LNP Application Processor,版本 10.x Oracle Communications EAGLE LNP Application Processor
Oracle Communications Interactive Session Recorder,版本 5.x、6.x Oracle Communications Interactive Session Recorder
Oracle Communications Messaging Server,版本 3.x Oracle Communications Convergence
Oracle Communications Network Charging and Control,版本 4.4.1.5.0、5.0.0.1.0、5.0.0.2.0、5.0.1.0.0、5.0.2.0.0 Oracle Communications Network Charging and Control
Oracle Communications Policy Management,版本 12.x Oracle Communications Policy Management
Oracle Communications Session Border Controller,版本 ECz7.x、ECz8.x Oracle Communications Session Border Controller
Oracle Communications User Data Repository,版本 10.x、12.x Oracle Communications User Data Repository
Oracle 数据库服务器,版本 11.2.0.4、12.1.0.2、12.2.0.1、18.1、18.2 数据库
Oracle E-Business Suite,版本 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7 E-Business Suite
Oracle Endeca Information Discovery Studio,版本 3.1、3.2 融合中间件
Oracle Enterprise Data Quality,版本 12.2.1.3.0 融合中间件
Oracle Enterprise Repository,版本 11.1.1.7.0、12.1.3.0.0 融合中间件
Oracle Financial Services Analytical Applications Infrastructure,版本 7.3.3.x、8.0.x Oracle Financial Services Analytical Applications Infrastructure
Oracle Financial Services Behavior Detection Platform,版本 8.0.x Oracle Financial Services Behavior Detection Platform
Oracle Financial Services Funds Transfer Pricing,版本 6.1.1、8.0.x Oracle Financial Services Funds Transfer Pricing
Oracle Financial Services Hedge Management and IFRS Valuations,版本 8.0.4、8.0.5 Oracle Financial Services Hedge Management and IFRS Valuations
Oracle Financial Services Loan Loss Forecasting and Provisioning,版本 8.0.4、8.0.5 Oracle Financial Services Loan Loss Forecasting and Provisioning
Oracle Financial Services Profitability Management,版本 6.1.1、8.0.x Oracle Financial Services Profitability Management
Oracle Financial Services Revenue Management and Billing,版本 2.3.0.2.0、2.4.0.0.0、2.4.0.1.0、2.5.0.1.0、2.5.0.2.0、2.5.0.3.0 Oracle Financial Services Revenue Management and Billing
Oracle FLEXCUBE Enterprise Limits and Collateral Management,版本 12.3.0、14.0.0、14.1.0 Oracle 金融服务应用
Oracle FLEXCUBE Investor Servicing,版本 12.0.4、12.1.0、12.3.0、12.4.0 Oracle 金融服务应用
Oracle FLEXCUBE Universal Banking,版本 11.3.0、11.4.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0、12.3.0、12.4.0、14.0.0、14.1.0 Oracle 金融服务应用
Oracle 融合中间件,版本 12.2.1.2、12.2.1.3 融合中间件
Oracle Fusion Middleware MapViewer,版本 12.2.1.2、12.2.1.3 融合中间件
Oracle Global Lifecycle Management OPatchAuto,所有版本 Oracle Global Lifecycle Management OPatchAuto
Oracle Hospitality Cruise Fleet Management System,版本 9.x Oracle Hospitality Cruise Fleet Management
Oracle Hospitality Cruise Shipboard Property Management System,版本 8.x Oracle Hospitality Cruise Shipboard Property Management System
Oracle Hospitality Gift and Loyalty,版本 9.0.0 Oracle Hospitality Gift and Loyalty
Oracle Hospitality OPERA 5 Property Services,版本 5.5.x Oracle Hospitality OPERA 5 Property Services
Oracle Hospitality Reporting and Analytics,版本 9.0.0 Oracle Hospitality Reporting and Analytics
Oracle Hospitality Simphony,版本 2.8、2.9、2.10 Oracle Hospitality Simphony
Oracle iLearning,版本 6.2 网上学习
Oracle Insurance Policy Administration,版本 10.0、10.1、10.2、11.0 Oracle 保险应用
Oracle Internet Directory,版本 11.1.1.9.0 融合中间件
Oracle Java SE,版本 6u191、7u181、8u172、10.0.1 Java SE
Oracle Java SE Embedded,版本 8u171 Java SE
Oracle JDeveloper,版本 12.1.3.0.0、12.2.1.2.0、12.2.1.3.0 融合中间件
Oracle JRockit,版本 R28.3.18 Java SE
Oracle Outside In Technology,版本 8.5.3 融合中间件
Oracle Policy Automation,版本 10.4.7、12.1.0、12.1.1、12.2.0、12.2.1、12.2.2、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7、12.2.8、12.2.9、12.2.10 Oracle Policy Automation
Oracle Policy Automation Connector for Siebel,版本 10.4.6 Oracle Policy Automation
适用于移动设备的 Oracle Policy Automation,版本 10.4.7、12.1.0、12.1.1、12.2.0、12.2.1、12.2.2、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7、12.2.8、12.2.9、12.2.10 Oracle Policy Automation
Oracle Retail Back Office,版本 14.0、14.1 零售应用
Oracle Retail Bulk Data Integration,版本 16.0 零售应用
Oracle Retail Central Office,版本 14.0、14.1 零售应用
Oracle Retail Clearance Optimization Engine,版本 14.0.5 零售应用
Oracle Retail Convenience and Fuel POS Software,版本 2.1.132 零售应用
Oracle Retail Customer Management and Segmentation Foundation,版本 16.x、17.x 零售应用
Oracle Retail Financial Integration,版本 13.2.x、14.0.x、14.1.x、15.0.x、16.0.x 零售应用
Oracle Retail Integration Bus,版本 12.0.x、13.0.x、13.1.x、13.2.x、14.0.0、14.1.0、14.0.x、14.1.x、15.0、15.0.x、16.0、16.0.x 零售应用
Oracle Retail Order Broker,版本 5.2、15.0、16.0 零售应用
Oracle Retail Point-of-Sale,版本 14.0、14.1 零售应用
Oracle Retail Point-of-Service,版本 14.0、14.1 零售应用
Oracle Retail Predictive Application Server,版本 15.0.3 零售应用
Oracle Retail Returns Management,版本 14.0、14.1 零售应用
Oracle Retail Service Backbone,版本 14.0.x、14.1.x、15.0.x、16.0.x 零售应用
Oracle Retail Service Layer,版本 12.0.x、13.0.x、13.1.x、13.2.x、14.0.x 零售应用
Oracle Secure Global Desktop,版本 5.3、5.4 虚拟化
Oracle SOA Suite,版本 11.1.1.7.0、11.1.1.9.0、12.1.3.0.0、12.2.1.2.0、12.2.1.3.0 融合中间件
Oracle SuperCluster 特定软件,2.5.0 之前的版本 系统
Oracle Transportation Management,版本 6.2、6.3.7、6.4.1 Oracle Supply Chain 产品
Oracle Tuxedo,版本 12.1.1、12.1.3、12.2.2 融合中间件
Oracle Utilities Framework,版本 4.3.x Oracle 公用事业应用
Oracle Utilities Network Management System,版本 1.12.x、2.3.x Oracle 公用事业应用
Oracle Utilities Work and Asset Management,版本 1.9.1.2.12 Oracle 公用事业应用
Oracle VM VirtualBox,5.2.16 之前的版本 虚拟化
Oracle WebCenter Portal,版本 11.1.1.9.0、12.2.1.2.0、12.2.1.3.0 融合中间件
Oracle WebLogic Server,版本 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3 融合中间件
OSS Support Tools,18.3 之前的版本 支持工具
PeopleSoft Enterprise CS Financial Aid,版本 9.0、9.2 PeopleSoft
PeopleSoft Enterprise FIN Install,版本 9.2 PeopleSoft
PeopleSoft Enterprise HCM Human Resources,版本 9.2 PeopleSoft
PeopleSoft Enterprise PeopleTools,版本 8.55、8.56 PeopleSoft
PeopleSoft HRMS,版本 9.2 PeopleSoft
Primavera P6 Enterprise Project Portfolio Management,版本 8.4、15.x、16.x、17.x Oracle Construction and Engineering Suite
Primavera Unifier,版本 16.x、17.x、18.x Oracle Construction and Engineering Suite
Siebel 应用,版本 18.0 Siebel
Solaris,版本 10、11.2、11.3 系统
Solaris Cluster,版本 3.3、4.3 系统
Sun ZFS Storage Appliance Kit (AK),8.7.20 之前的版本 系统
磁带库 ACSLS,ACSLS 8.4.0-3 之前的版本 系统

注:

  • 影响 Oracle 数据库和 Oracle 融合中间件的漏洞可能会影响 Oracle 融合应用,因此 Oracle 客户应参阅 Oracle 融合应用重要补丁更新知识文档 My Oracle Support 说明 1967316.1,了解有关要应用于融合应用环境的补丁的信息。
  • 影响 Oracle Solaris 的漏洞可能会影响 Oracle ZFSSA,因此 Oracle 客户应参阅 Oracle 和 Sun 系统产品套件重要补丁更新知识文档 My Oracle Support 说明 2160904.1,了解有关解决重要补丁更新和 Solaris 第三方公告中发布的 ZFSSA 问题所需的安全修复程序最低修订版的信息。
  • 使用浏览器运行 Java SE 的用户可以从 http://java.com/下载新版本。Windows 和 Mac OS X 平台上的用户还可以使用自动更新获取新版本。

风险表内容

风险表只列出公告涉及到的补丁新近修复的安全漏洞。之前的安全修复程序的风险表包含在之前的重要补丁更新公告中。在此可获取本文档中提供的风险表的英语文本版本。

该重要补丁更新提出的几个漏洞影响多个产品。每个漏洞都通过一个漏洞号来标识,该编号是相应漏洞的唯一标识符。一个影响多个产品的漏洞将在所有风险表中显示相同的漏洞号。用斜体 显示的漏洞号表明该漏洞不仅影响斜体漏洞号所在行的产品,还影响其他产品。

安全漏洞使用 CVSS 3.0 版进行评估(请参阅用于解释 Oracle 如何应用 CVSS 3.0 的 Oracle CVSS 评估系统)。

Oracle 对重要补丁更新解决的各个安全漏洞进行了分析。Oracle 不向客户公开有关此安全性分析的详细信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及利用得逞的潜在影响的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析自己的风险。有关详细信息,请参阅 Oracle 漏洞公开政策

风险表中的协议暗示其所有安全变体(如果适用)也将受到影响。例如,如果列出 HTTP 为受影响协议,则暗示 HTTPS(如果适用)也将受到影响。仅当协议的安全变体是唯一一个 受影响的变体时,才会在风险表中列出,例如,HTTPS 通常会列为 SSL 和 TLS 的漏洞。

解决方法

考虑到攻击得逞所带来的威胁,Oracle 强烈建议客户尽快应用重要补丁更新修复程序。如果不应用重要补丁更新修复程序,则无法通过阻止攻击所需的网络协议来降低攻击得逞的风险。对于需要特定权限或者需要访问特定程序包的攻击,对不需要这些权限的用户删除这些权限或者使其无法访问这些程序包可能有助于降低攻击得逞的风险。这两种方法都有可能损害应用功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。

漏掉的重要补丁更新

Oracle 强烈建议客户尽快应用安全修复程序。如果客户漏掉了一个或多个重要补丁更新,担心该重要补丁更新中未公布其修复程序的产品出现安全问题,请查看以前的重要补丁更新公告以确定要采取的行动。

重要补丁更新支持的产品和版本

只有终身支持政策的标准支持或延伸支持阶段中涵盖的产品版本才提供通过重要补丁更新计划发布的补丁。Oracle 建议客户规划产品升级,以确保当前运行的版本可以应用通过重要补丁更新计划发布的补丁。

没有对未涵盖在标准支持或延伸支持之下的产品版本测试过是否存在该重要补丁更新提出的安全漏洞。但是,很可能受影响的版本的那些早期版本也会受这些安全漏洞的影响。因此,Oracle 建议客户升级到受支持的版本。

数据库、融合中间件和 Oracle Enterprise Manager 产品根据软件错误更正支持政策(参见 My Oracle Support 说明 209768.1)进行修补。有关支持政策和支持阶段的详细指南,请查看技术支持政策

致谢声明

该重要补丁更新修复的安全漏洞由以下人员或组织向 Oracle 报告:

  • 0c0c0f:CVE-2018-2893
  • Adam Willard:CVE-2018-3017、CVE-2018-3018
  • Pure Hacking 的 Amin Moralic:CVE-2018-2953
  • Tehtris 的 André Lenoir:CVE-2018-2991、CVE-2018-2993、CVE-2018-2996、CVE-2018-3012
  • 参与 Trend Micro 的零时差计划的匿名研究员:CVE-2018-3087、CVE-2018-3088、CVE-2018-3089、CVE-2018-3090
  • Knownsec 404 团队的 BadcodeCVE-2018-2893
  • Bartłomiej Stasiek:CVE-2018-2900
  • Flexera Software 的 Secunia Research 的 Behzad Najjarpour Jabbari:CVE-2018-2992、CVE-2018-3009、CVE-2018-3010、CVE-2018-3092、CVE-2018-3093、CVE-2018-3094、CVE-2018-3095、CVE-2018-3096、CVE-2018-3097、CVE-2018-3098、CVE-2018-3099、CVE-2018-3102、CVE-2018-3103、CVE-2018-3104
  • Google 的 Daniel Bleichenbacher:CVE-2018-2972
  • Dario Weißer:CVE-2018-3081
  • Apple 的 David Litchfield:CVE-2018-2894
  • Pulse Security 的 Denis Andzakovic:CVE-2018-2933、CVE-2018-2998
  • NCC Group 的 Fabio Pires:CVE-2018-2907
  • Faizal Hasanwala:CVE-2018-2936
  • Gregory Draperi:CVE-2018-2938
  • Security Compass 的 Gregory Smiley:CVE-2018-2955、CVE-2018-2957、CVE-2018-3000、CVE-2018-3001、CVE-2018-3002、CVE-2018-3003
  • Security Compass 的 Jackson Thuraisamy:CVE-2018-2955、CVE-2018-2957
  • ING Services Polska 的 Jakub Palaczynski:CVE-2018-2958
  • Towerwall, Inc. 的 Jim LaValley:CVE-2018-2960、CVE-2018-2961、CVE-2018-2962、CVE-2018-2963、CVE-2018-2965、CVE-2018-2966、CVE-2018-2967、CVE-2018-2968、CVE-2018-2969
  • GE 子公司 Baker Hughes 的 John Beeson:CVE-2018-2976
  • Krisorn Phochalam:CVE-2018-2899
  • NSFOCUS 安全团队的 Liao Xinxi:CVE-2018-2893
  • Venustech ADLab 的 Lilei:CVE-2018-2893
  • 360 企业安全集团的 Linpei Sheng:CVE-2018-2997
  • Lokesh Sharma:CVE-2018-2934
  • ING Services Polska 的 Lukasz Plonka:CVE-2018-2915、CVE-2018-2987
  • ING Services Polska 的 Marcin Wołoszyn:CVE-2018-2958
  • NCC Group 的 Mathew Nash:CVE-2018-2907
  • Matthew E. Fulton:CVE-2018-3109
  • Pure Hacking 的 Matthew Fulton:CVE-2018-2953
  • 国家互联网应急中心的 Mingxuan Song:CVE-2018-2894
  • Trustwave Spiderlabs 的 Neil Kettle:CVE-2018-2892
  • Tehtris 的 Nicolas Verdier:CVE-2018-2991、CVE-2018-2993、CVE-2018-2996、CVE-2018-3012
  • 参与 Trend Micro 的零时差计划的 Niklas Baumstark:CVE-2018-3055、CVE-2018-3085、CVE-2018-3091
  • Electronic Arts 的 Pawan Patil:CVE-2018-2994、CVE-2018-2995
  • Pawel Gocyla:CVE-2018-2925
  • Rich Mirch:CVE-2018-2939
  • 参与 Trend Micro 的零时差计划的 Root Object:CVE-2018-3086
  • Sidney Markowitz:CVE-2018-2942
  • Fraunhofer FKIE 的 Thomas Barabosch:CVE-2018-3005
  • 阿里巴巴云安全团队的 Xu YuanzhenCVE-2018-2893
  • Zhong Zhaochen:CVE-2018-2964

深度安全贡献者

Oracle 向那些为我们的深度安全计划作出贡献的人表示感谢(参见常见问题解答)。对于导致在以后版本中大量修改 Oracle 代码或文档但是严重程度不足以归类到重要补丁更新中的安全漏洞问题,如果有人提供相关的信息、发现或建议,则会因为深度安全作出贡献而受到褒奖。

在此重要补丁更新公告中,Oracle 向以下为 Oracle 深度安全计划作出贡献的人们表示感谢:

  • Towerwall, Inc. 的 Jim LaValley
  • Lokesh Sharma(2 份报告)

在线业务安全贡献者

Oracle 向那些为我们的在线业务安全计划作出贡献的人表示感谢(参见常见问题解答)。如果有人提供会导致在以后版本中大量修改 Oracle 面向外部的在线系统安全问题相关的信息、发现或建议,则会因为在线业务安全作出贡献而受到褒奖。

在本季度中,Oracle 向以下为 Oracle 在线业务安全计划作出的贡献的人们表示感谢:

  • Adam Willard
  • Anil Tom
  • Cedric Zirtacic
  • Cem Onat Karagun(6 份报告)
  • Dmitry Ivanov
  • Elif Zehra Karabiber(2 份报告)
  • Omkar Avasthi
  • Jacob 'kobsoN' Hazak
  • Jamal Elfitory
  • Jayesh Patel
  • Jose Carlos Exposito Bueno
  • Kerem TAMCI
  • Mushraf Mustafa
  • Nalla Muthu
  • Nick Marcoccio @1oopho1e
  • Polaris Lab 的 re4lity
  • Richard Cocks
  • Rick Ramgattie
  • Sara Badran
  • 参与 Trend Micro 的零时差计划的 TrendyTofu
  • Viral Bhatt
  • Vishakh B
  • Vismit Rakhecha
  • Youssef A. Mohamed(即 GeneralEG)

重要补丁更新时间表

重要补丁更新在距 1 月、4 月、7 月和 10 月的第 17 日最近的星期二发布。接下来的四个日期为:

  • 2018 年 10 月 16 日
  • 2019 年 1 月 15 日
  • 2019 年 4 月 16 日
  • 2019 年 7 月 16 日

参考资料


修改记录


日期 说明
2018 年 8 月 2 日 修订版 5。针对 WebLogic Server 更新了受影响的 CVE-2018-2894 和 CVE-2018-7489 版本。
2018 年 7 月 27 日 修订版 4。更新了“在线业务安全贡献者”。
2018 年 7 月 23 日 修订版 3。更新了 CVE-2018-2938。
2018 年 7 月 20 日 修订版 2。更新了 CVE-2018-2938。
2018 年 7 月 17 日 修订版 1。初始版本。

 

 

 

Oracle 数据库服务器风险表

该重要补丁更新包含以下 4 个针对 Oracle 数据库服务器的新安全修复程序:

  • 3 个针对 Oracle 数据库服务器的新安全修复程序。其中 1 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。所有这些修复程序都不适用于仅客户端的安装(即,没有安装 Oracle 数据库服务器的安装)。在此可获取此风险表的英语文本形式。
  • 1 个针对 Oracle Global Lifecycle Management 的新安全修复程序。此漏洞无需身份验证即可远程利用,即,无需用户凭证即可通过网络利用该漏洞。在此可获取此风险表的英语文本形式。

 



漏洞号 组件 所需的程序包和/或权限 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2017-15095 Oracle Spatial (jackson-databind) 多个 9.8 网络 不变 12.2.0.1、18.1  
CVE-2018-2939 Core RDBMS 本地登录 本地登录 8.4 本地 改变 11.2.0.4、12.1.0.2、12.2.0.1、18.1、18.2  
CVE-2018-3004 Java VM 具备 Create Session、Create Procedure 权限 多个 5.3 网络 不变 11.2.0.4、12.1.0.2、12.2.0.1、18.2  
 



Oracle Global Lifecycle Management 风险表

该重要补丁更新包含 1 个针对 Oracle Global Lifecycle Management 的新安全修复程序。此漏洞无需身份验证即可远程利用,即,无需用户凭证即可通过网络利用该漏洞。在此可获取此风险表的英语文本形式。



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2018-7489 Oracle Global Lifecycle Management OPatchAuto 数据库特定扩展 (jackson-databind) 多个 9.8 网络 不变 所有  
 


 

Oracle 通信应用风险表

该重要补丁更新包含 14 个针对 Oracle 通信应用的新安全修复程序。其中 10 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2016-2099 Oracle Communications User Data Repository 安全 (Apache Xerces) HTTP 9.8 网络 不变 10.x、12.x  
CVE-2016-0714 Oracle Communications Policy Management 安全 (Apache Tomcat) HTTP 8.8 网络 不变 12.x  
CVE-2016-2176 Oracle Communications Policy Management 安全 (OpenSSL) TLS 8.2 网络 不变 12.x  
CVE-2017-7525 Oracle Communications Policy Management 安全 (Apache Struts 2) HTTP 8.1 网络 不变 12.x  
CVE-2016-5195 Oracle Communications Policy Management 平台(内核) 7.8 本地 不变 12.x  
CVE-2017-6074 Oracle Communications Session Border Controller 安全(内核) 7.8 本地 不变 ECz7.x、ECz8.x  
CVE-2017-0379 Oracle Communications Interactive Session Recorder 安全 (libgcrypt) HTTP 7.5 网络 不变 5.x、6.x  
CVE-2015-7940 Oracle Communications Policy Management CMP (Bouncy Castle) TLS 7.5 网络 不变 12.x  
CVE-2017-5662 Oracle Communications Diameter Signaling Router (DSR) 安全 (Apache Batik) HTTP 7.3 网络 需要 不变 7.x、8.x  
CVE-2018-2904 Oracle Communications EAGLE LNP Application Processor GUI HTTP 6.5 网络 不变 10.x  
CVE-2018-0739 Oracle Communications Network Charging and Control 安全 (OpenSSL) TLS 6.5 网络 需要 不变 4.4.1.5.0、5.0.0.1.0、5.0.0.2.0、5.0.1.0.0、5.0.2.0.0  
CVE-2017-3633 Oracle Communications Policy Management 安全 (MySQL) 多个 6.5 网络 不变 12.x  
CVE-2018-2936 Oracle Communications Messaging Server Web 客户端 HTTP 6.1 网络 需要 改变 3.x  
CVE-2015-5600 Oracle Communications Policy Management 安全 (OpenSSH) SSH 5.3 网络 不变 12.x  
 

下面是解决的其他 CVE:

  • CVE-2015-5600 修复程序还解决了 CVE-2014-2532。
  • CVE-2016-0714 修复程序还解决了 CVE-2014-0230、CVE-2014-7810、CVE-2015-5174、CVE-2015-5345、CVE-2015-5346、CVE-2015-5351、CVE-2016-0706 和 CVE-2016-3092。
  • CVE-2016-2099 修复程序还解决了 CVE-2016-4463。
  • CVE-2016-2176 修复程序还解决了 CVE-2016-2105、CVE-2016-2106、CVE-2016-2107 和 CVE-2016-2109。
  • CVE-2017-3633 修复程序还解决了 CVE-2017-3634、CVE-2017-3635、CVE-2017-3636、CVE-2017-3641、CVE-2017-3647、CVE-2017-3648、CVE-2017-3649、CVE-2017-3651、CVE-2017-3652、CVE-2017-3653 和 CVE-2017-3732。
  • CVE-2017-7525 修复程序还解决了 CVE-2017-15707 和 CVE-2018-1327。

 

Oracle Construction and Engineering Suite 风险表

该重要补丁更新包含 11 个针对 Oracle Construction and Engineering Suite 的新安全修复程序。其中 6 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2018-2966 Primavera Unifier 核心 HTTP 7.4 网络 需要 改变 16.x、17.x、18.x  
CVE-2018-2968 Primavera Unifier 核心 HTTP 6.5 网络 需要 不变 16.x、17.x、18.x  
CVE-2016-4055 Primavera Unifier 核心 (Moment) HTTP 6.5 网络 不变 16.x、17.x、18.x  
CVE-2018-2960 Primavera P6 企业项目组合管理 Web 访问 HTTP 6.1 网络 需要 改变 8.4、15.x、16.x、17.x  
CVE-2018-2961 Primavera P6 企业项目组合管理 Web 访问 HTTP 6.1 网络 需要 改变 8.4、15.x、16.x、17.x  
CVE-2018-2965 Primavera Unifier 核心 HTTP 6.1 网络 需要 改变 16.x  
CVE-2016-7103 Primavera Unifier 核心 (jQueryUI) HTTP 6.1 网络 需要 改变 16.x、17.x、18.x  
CVE-2018-2967 Primavera Unifier 核心 5.3 物理 改变 16.x、17.x、18.x  
CVE-2018-2962 Primavera P6 企业项目组合管理 Web 访问 HTTP 4.4 网络 需要 改变 8.4、15.x、16.x、17.x  
CVE-2018-2963 Primavera P6 企业项目组合管理 Web 访问 HTTP 4.3 网络 不变 8.4、15.x、16.x  
CVE-2018-2969 Primavera Unifier 核心 HTTP 4.3 网络 不变 16.x  
 


 

Oracle E-Business Suite 风险表

该重要补丁更新包含 14 个针对 Oracle E-Business Suite 的新安全修复程序。其中 13 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

Oracle E-Business Suite 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库和 Oracle 融合中间件部分中所列漏洞的影响。Oracle E-Business Suite 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle E-Business Suite 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle E-Business Suite 产品,Oracle 建议客户将 2018 年 7 月的重要补丁更新应用于 Oracle E-Business Suite 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 Oracle E-Business Suite 12 版重要补丁更新知识文档(2017 年 7 月)My Oracle Support 说明 2379675.1

 



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2018-2993 Oracle CRM Technical Foundation 首选项 HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2018-3017 Oracle CRM Technical Foundation 首选项 HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2018-2995 Oracle 网上商店 购物车 HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2018-3018 Oracle 网上商店 购物车 HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2018-3008 Oracle Marketing 用户界面 HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3  
CVE-2018-2953 Oracle One-to-One Fulfillment 打印服务器 HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2018-2997 Oracle Scripting Script Author HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3  
CVE-2018-2991 Oracle 贸易管理系统 用户界面 HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2018-3012 Oracle 贸易管理系统 用户界面 HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2018-2996 Oracle Applications Manager Oracle 诊断界面 HTTP 7.5 网络 不变 12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2018-2954 Oracle Order Management 产品诊断工具 7.0 本地 不变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2018-2988 Oracle Marketing 产品 HTTP 6.9 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2018-2934 Oracle Application Object Library 附件 / 文件上载 HTTP 5.3 网络 不变 12.1.3  
CVE-2018-2994 Oracle 网上商店 购物车 HTTP 5.3 网络 不变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
 


 

Oracle Enterprise Manager 产品套件风险表

该重要补丁更新包含 16 个针对 Oracle Enterprise Manager 产品套件的新安全修复程序。所有这些漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。所有这些修复程序都不适用于仅客户端的安装(即,没有安装 Oracle Enterprise Manager 产品套件的安装)。在此可获取此风险表的英语文本形式。

Oracle Enterprise Manager 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库和 Oracle 融合中间件部分中所列漏洞的影响。Oracle Enterprise Manager 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle Enterprise Manager 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle Enterprise Manager 产品,Oracle 建议客户将 2018 年 7 月的重要补丁更新应用于 Enterprise Manager 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 2018 年 7 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 2394520.1

 



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2017-5645 Enterprise Manager Base Platform 安装程序 (Apache Log4j) HTTP 9.8 网络 不变 12.1.0.5、13.2.x  
CVE-2017-5645 Enterprise Manager Base Platform Security Framework (Apache Log4j) HTTP 9.8 网络 不变 12.1.0.5、13.2.x  
CVE-2017-5645 适用于融合中间件的 Enterprise Manager Application Replay (Apache Log4j) HTTP 9.8 网络 不变 12.1.0.5、13.2.x  
CVE-2017-5645 适用于融合中间件的 Enterprise Manager 适用于 CC 的 FMW 插件 (Apache Log4j) HTTP 9.8 网络 不变 12.1.0.5、13.2.x  
CVE-2017-5645 适用于 MySQL Database 的 Enterprise Manager EM 插件:常规 (Apache Log4j) Log4j 9.8 网络 不变 13.2.2.0.0 及之前的版本  
CVE-2017-5645 适用于 Oracle 数据库的 Enterprise Manager 供应 (Apache Log4j) HTTP 9.8 网络 不变 12.1.0.8、13.2.2  
CVE-2017-5645 Enterprise Manager for Peoplesoft PSEM 插件 (Apache Log4j) HTTP 9.8 网络 不变 13.1.1.1、13.2.1.1  
CVE-2018-7489 适用于虚拟化的 Enterprise Manager 插件生命周期 (jackson-databind) HTTP 9.8 网络 不变 13.2.2、13.2.3  
CVE-2018-1275 Enterprise Manager Ops Center 网络 (Spring Framework) HTTP 9.8 网络 不变 12.2.2、12.3.3  
CVE-2018-1275 Oracle Application Testing Suite Load Testing for Web Apps (Spring Framework) HTTP 9.8 网络 不变 10.1  
CVE-2018-2976 Enterprise Manager Ops Center 网络 HTTP 8.2 网络 不变 12.2.2  
CVE-2016-1181 适用于融合中间件的 Enterprise Manager 适用于 CC 的 FMW 插件 (Apache Struts 1) HTTP 8.1 网络 不变 12.1.0.5  
CVE-2017-9798 Enterprise Manager Base Platform 安装程序 (Apache HTTP Server) HTTP 7.5 网络 不变 13.2.x  
CVE-2016-9878 Enterprise Manager Ops Center 框架 (Spring Framework) HTTP 7.5 网络 不变 12.2.2、12.3.3  
CVE-2017-9798 Enterprise Manager Ops Center 网络 (Apache HTTP Server) HTTP 7.5 网络 不变 12.2.2、12.3.3  
CVE-2018-0739 Enterprise Manager Ops Center 网络 (OpenSSL) HTTPS 6.5 网络 需要 不变 12.2.2、12.3.3  
 

下面是解决的其他 CVE:

  • CVE-2016-1181 修复程序还解决了 CVE-2014-0114 和 CVE-2016-1182。
  • CVE-2016-9878 修复程序还解决了 CVE-2018-1270、CVE-2018-1271、CVE-2018-1272 和 CVE-2018-1275。
  • CVE-2018-0739 修复程序还解决了 CVE-2017-3738 和 CVE-2018-0733。
  • CVE-2018-1275 修复程序还解决了 CVE-2016-9878、CVE-2018-1270、CVE-2018-1271 和 CVE-2018-1272。
  • CVE-2018-7489 修复程序还解决了 CVE-2017-7525。

 

Oracle 金融服务应用风险表

该重要补丁更新包含 56 个针对 Oracle 金融服务应用的新安全修复程序。其中 21 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

“Oracle Financial Services Analytical Applications Infrastructure”是众多 Oracle 金融服务应用使用的一个组件。客户应参考 MOS 说明(文档 ID 2380553.1)确定相关产品,并参考 Oracle Financial Services Analytical Applications Infrastructure MOS 文档确定如何给这个组件安装补丁。

 



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2017-5645 Oracle 银行业务平台 收款 (Apache Log4j) HTTP 9.8 网络 不变 2.6.0、2.6.1、2.6.2  
CVE-2017-5645 Oracle Financial Services Analytical Applications Infrastructure 基础设施 (Apache Log4j) HTTP 9.8 网络 不变 7.3.3.x、8.0.x 参见注释 1
CVE-2018-1275 Oracle Financial Services Analytical Applications Infrastructure 内联处理引擎 (Spring Framework) HTTP 9.8 网络 不变 8.0.x 参见注释 1
CVE-2018-1275 Oracle Financial Services Behavior Detection Platform 管理工具 (Spring Framework) HTTP 9.8 网络 不变 8.0.x  
CVE-2017-5645 Oracle Financial Services Behavior Detection Platform 提取 (Apache Log4j) HTTP 9.8 网络 不变 8.0.x  
CVE-2017-5645 Oracle Financial Services Funds Transfer Pricing 日志记录 (Apache Log4j) HTTP 9.8 网络 不变 6.1.1、8.0.x  
CVE-2017-5645 Oracle Financial Services Hedge Management and IFRS Valuations 日志记录 (Apache Log4j) HTTP 9.8 网络 不变 8.0.4、8.0.5  
CVE-2017-5645 Oracle Financial Services Loan Loss Forecasting and Provisioning 日志记录 (Apache Log4j) HTTP 9.8 网络 不变 8.0.4、8.0.5  
CVE-2017-5645 Oracle Financial Services Profitability Management 日志记录 (Apache Log4j) HTTP 9.8 网络 不变 6.1.1、8.0.x  
CVE-2018-3050 Oracle Banking Corporate Lending 核心模块 HTTP 8.1 网络 不变 12.3.0、12.4.0、12.5.0、14.0.0、14.1.0  
CVE-2018-3027 Oracle Banking Payments 支付核心 HTTP 8.1 网络 不变 12.2.0、12.3.0、12.4.0、12.5.0、14.1.0  
CVE-2018-3051 Oracle FLEXCUBE Enterprise Limits and Collateral Management 基础设施 HTTP 8.1 网络 不变 12.3.0、14.0.0、14.1.0  
CVE-2018-3035 Oracle FLEXCUBE Investor Servicing 基础设施 HTTP 8.1 网络 不变 12.0.4、12.1.0、12.3.0、12.4.0  
CVE-2018-3015 Oracle FLEXCUBE Universal Banking 基础设施 HTTP 8.1 网络 不变 11.3.0、11.4.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0、12.3.0、12.4.0、14.0.0、14.1.0  
CVE-2018-8013 Oracle Financial Services Analytical Applications Infrastructure Link Analysis and Metadata 浏览器 (Apache Batik) HTTP 7.3 网络 不变 7.3.3.x、8.0.x 参见注释 1
CVE-2018-3040 Oracle Banking Corporate Lending 核心模块 HTTP 6.5 网络 不变 12.3.0、12.4.0、12.5.0、14.0.0、14.1.0  
CVE-2018-3022 Oracle Banking Payments 支付核心 HTTP 6.5 网络 不变 12.2.0、12.3.0、12.4.0、12.5.0、14.1.0  
CVE-2014-3577 Oracle Financial Services Revenue Management and Billing 外部消息(HTTP 客户端) HTTP 6.5 网络 不变 2.3.0.2.0、2.4.0.0.0、2.4.0.1.0、2.5.0.1.0、2.5.0.2.0、2.5.0.3.0  
CVE-2018-3041 Oracle FLEXCUBE Enterprise Limits and Collateral Management 基础设施 HTTP 6.5 网络 不变 12.3.0、14.0.0、14.1.0  
CVE-2018-3030 Oracle FLEXCUBE Investor Servicing 基础设施 HTTP 6.5 网络 不变 12.0.4、12.1.0、12.3.0、12.4.0  
CVE-2018-2979 Oracle FLEXCUBE Universal Banking 基础设施 HTTP 6.5 网络 不变 11.3.0、11.4.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0、12.3.0、12.4.0、14.0.0、14.1.0  
CVE-2018-3036 Oracle Banking Corporate Lending 核心模块 HTTP 6.3 网络 不变 12.3.0、12.4.0、12.5.0、14.0.0、14.1.0  
CVE-2018-3020 Oracle Banking Payments 支付核心 HTTP 6.3 网络 不变 12.2.0、12.3.0、12.4.0、12.5.0、14.1.0  
CVE-2018-3037 Oracle FLEXCUBE Enterprise Limits and Collateral Management 基础设施 HTTP 6.3 网络 不变 12.3.0、14.0.0、14.1.0  
CVE-2018-3028 Oracle FLEXCUBE Investor Servicing 基础设施 HTTP 6.3 网络 不变 12.0.4、12.1.0、12.3.0、12.4.0  
CVE-2018-2974 Oracle FLEXCUBE Universal Banking 基础设施 HTTP 6.3 网络 不变 11.3.0、11.4.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0、12.3.0、12.4.0、14.0.0、14.1.0  
CVE-2018-2895 Oracle Banking Corporate Lending 核心模块 HTTP 6.1 网络 需要 改变 12.3.0、12.4.0、12.5.0、14.0.0、14.1.0  
CVE-2018-2896 Oracle Banking Payments 支付核心 HTTP 6.1 网络 需要 改变 12.2.0、12.3.0、12.4.0、12.5.0、14.1.0  
CVE-2018-2897 Oracle FLEXCUBE Enterprise Limits and Collateral Management 基础设施 HTTP 6.1 网络 需要 改变 12.3.0、14.0.0、14.1.0  
CVE-2018-2898 Oracle FLEXCUBE Investor Servicing 基础设施 HTTP 6.1 网络 需要 改变 12.0.4、12.1.0、12.3.0、12.4.0  
CVE-2018-2899 Oracle FLEXCUBE Universal Banking 基础设施 HTTP 6.1 网络 需要 改变 11.3.0、11.4.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0、12.3.0、12.4.0、14.0.0、14.1.0  
CVE-2018-3042 Oracle Banking Corporate Lending 核心模块 HTTP 5.4 网络 不变 12.3.0、12.4.0、12.5.0、14.0.0、14.1.0  
CVE-2018-3044 Oracle Banking Corporate Lending 核心模块 HTTP 5.4 网络 不变 12.3.0、12.4.0、12.5.0、14.0.0、14.1.0  
CVE-2018-3048 Oracle Banking Corporate Lending 核心模块 HTTP 5.4 网络 需要 改变 12.3.0、12.4.0、12.5.0、14.0.0、14.1.0  
CVE-2018-3023 Oracle Banking Payments 支付核心 HTTP 5.4 网络 不变 12.2.0、12.3.0、12.4.0、12.5.0、14.1.0  
CVE-2018-3024 Oracle Banking Payments 支付核心 HTTP 5.4 网络 不变 12.2.0、12.3.0、12.4.0、12.5.0、14.1.0  
CVE-2018-3026 Oracle Banking Payments 支付核心 HTTP 5.4 网络 需要 改变 12.2.0、12.3.0、12.4.0、12.5.0、14.1.0  
CVE-2018-3043 Oracle FLEXCUBE Enterprise Limits and Collateral Management 基础设施 HTTP 5.4 网络 不变 12.3.0、14.0.0、14.1.0  
CVE-2018-3045 Oracle FLEXCUBE Enterprise Limits and Collateral Management 基础设施 HTTP 5.4 网络 不变 12.3.0、14.0.0、14.1.0  
CVE-2018-3049 Oracle FLEXCUBE Enterprise Limits and Collateral Management 基础设施 HTTP 5.4 网络 需要 改变 12.3.0、14.0.0、14.1.0  
CVE-2018-3031 Oracle FLEXCUBE Investor Servicing 基础设施 HTTP 5.4 网络 不变 12.0.4、12.1.0、12.3.0、12.4.0  
CVE-2018-3032 Oracle FLEXCUBE Investor Servicing 基础设施 HTTP 5.4 网络 不变 12.0.4、12.1.0、12.3.0、12.4.0  
CVE-2018-3034 Oracle FLEXCUBE Investor Servicing 基础设施 HTTP 5.4 网络 需要 改变 12.0.4、12.1.0、12.3.0、12.4.0  
CVE-2018-2980 Oracle FLEXCUBE Universal Banking 基础设施 HTTP 5.4 网络 不变 11.3.0、11.4.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0、12.3.0、12.4.0、14.0.0、14.1.0  
CVE-2018-2981 Oracle FLEXCUBE Universal Banking 基础设施 HTTP 5.4 网络 不变 11.3.0、11.4.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0、12.3.0、12.4.0、14.0.0、14.1.0  
CVE-2018-3019 Oracle FLEXCUBE Universal Banking 基础设施 HTTP 5.4 网络 需要 改变 11.3.0、11.4.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0、12.3.0、12.4.0、14.0.0、14.1.0  
CVE-2018-3038 Oracle Banking Corporate Lending 核心模块 HTTP 5.3 网络 不变 12.3.0、12.4.0、12.5.0、14.0.0、14.1.0  
CVE-2018-3046 Oracle Banking Corporate Lending 核心模块 HTTP 5.3 网络 不变 12.3.0、12.4.0、12.5.0、14.0.0、14.1.0  
CVE-2018-3021 Oracle Banking Payments 支付核心 HTTP 5.3 网络 不变 12.2.0、12.3.0、12.4.0、12.5.0、14.1.0  
CVE-2018-3025 Oracle Banking Payments 支付核心 HTTP 5.3 网络 不变 12.2.0、12.3.0、12.4.0、12.5.0、14.1.0  
CVE-2018-3039 Oracle FLEXCUBE Enterprise Limits and Collateral Management 基础设施 HTTP 5.3 网络 不变 12.3.0、14.0.0、14.1.0  
CVE-2018-3047 Oracle FLEXCUBE Enterprise Limits and Collateral Management 基础设施 HTTP 5.3 网络 不变 12.3.0、14.0.0、14.1.0  
CVE-2018-3029 Oracle FLEXCUBE Investor Servicing 基础设施 HTTP 5.3 网络 不变 12.0.4、12.1.0、12.3.0、12.4.0  
CVE-2018-3033 Oracle FLEXCUBE Investor Servicing 基础设施 HTTP 5.3 网络 不变 12.0.4、12.1.0、12.3.0、12.4.0  
CVE-2018-2975 Oracle FLEXCUBE Universal Banking 基础设施 HTTP 5.3 网络 不变 11.3.0、11.4.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0、12.3.0、12.4.0、14.0.0、14.1.0  
CVE-2018-2982 Oracle FLEXCUBE Universal Banking 基础设施 HTTP 5.3 网络 不变 11.3.0、11.4.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0、12.3.0、12.4.0、14.0.0、14.1.0  
 

注:

  1. 请参阅 MOS 文档(文档 ID 2380553.1),了解适用的其他 Oracle 金融服务产品。

下面是解决的其他 CVE:

  • CVE-2014-3577 修复程序还解决了 CVE-2015-5262。
  • CVE-2018-1275 修复程序还解决了 CVE-2018-1258、CVE-2018-1270、CVE-2018-1271 和 CVE-2018-1272。

 

Oracle 融合中间件风险表

该重要补丁更新包含 44 个针对 Oracle 融合中间件的新安全修复程序。其中 38 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

Oracle 融合中间件产品包括受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库组件。Oracle 融合中间件产品暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库安全修复程序未列在 Oracle 融合中间件风险表中。然而,由于影响 Oracle 数据库版本的漏洞可能影响 Oracle 融合中间件产品,Oracle 建议客户将 2018 年 7 月的重要补丁更新应用于 Oracle 融合中间件产品的 Oracle 数据库组件。有关您的环境需要应用哪些补丁的信息,请参阅 2018 年 7 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 2394520.1

 



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2017-5645 Oracle Enterprise Data Quality 常规 (Apache Log4j) HTTP 9.8 网络 不变 12.2.1.3.0  
CVE-2018-1275 Oracle Enterprise Repository 安全子系统 (Spring Framework) HTTP 9.8 网络 不变 11.1.1.7.0、12.1.3.0.0  
CVE-2017-5645 Oracle Fusion Middleware MapViewer 安装 (Apache Log4j) HTTP 9.8 网络 不变 12.2.1.2、12.2.1.3  
CVE-2018-2943 Oracle Fusion Middleware MapViewer Map Builder HTTP 9.8 网络 不变 12.2.1.2.0、12.2.1.3.0  
CVE-2018-7489 Oracle WebCenter Portal Security Framework (jackson-databind) HTTP 9.8 网络 不变 12.2.1.3.0  
CVE-2018-7489 Oracle WebLogic Server 控制台 (jackson-databind) HTTP 9.8 网络 不变 12.2.1.2、12.2.1.3  
CVE-2018-1275 Oracle WebLogic Server 示例应用 (Spring Framework) HTTP 9.8 网络 不变 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3  
CVE-2018-2894 Oracle WebLogic Server WLS — Web 服务 HTTP 9.8 网络 不变 12.1.3.0、12.2.1.2、12.2.1.3  
CVE-2018-2893 Oracle WebLogic Server WLS 核心组件 T3 9.8 网络 不变 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3  
CVE-2018-3100 Oracle Business Process Management Suite 流程分析和发现 HTTP 9.1 网络 不变 11.1.1.7.0、11.1.1.9.0、12.1.3.0.0、12.2.1.2.0、12.2.1.3.0  
CVE-2018-3007 Oracle Tuxedo 核心 Jolt 8.6 网络 改变 12.1.1、12.1.3、12.2.2  
CVE-2018-2935 Oracle WebLogic Server JSF HTTP 8.3 网络 需要 不变 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3  
CVE-2018-2958 BI Publisher BI Publisher 安全 HTTP 8.2 网络 不变 11.1.1.7.0、11.1.1.9.0、12.2.1.2.0、12.2.1.3.0  
CVE-2018-2900 BI Publisher 布局工具 HTTP 8.2 网络 不变 11.1.1.7.0  
CVE-2017-12617 FMW 平台 通用组件 (Apache Tomcat) HTTP 8.1 网络 不变 12.2.1.2.0、12.2.1.3.0  
CVE-2015-7940 Oracle JDeveloper 无(Bouncy Castle Java 软件包) HTTP 7.5 网络 不变 12.1.3.0.0、12.2.1.2.0、12.2.1.3.0  
CVE-2018-8013 Oracle Fusion Middleware MapViewer 安装 (Apache Batik) HTTP 7.3 网络 不变 12.2.1.2、12.2.1.3  
CVE-2018-3102 Oracle Outside In Technology Outside In Filter HTTP 7.1 网络 需要 不变 8.5.3 参见注释 1
CVE-2018-2992 Oracle Outside In Technology Outside In Filter HTTP 7.1 网络 需要 不变 8.5.3 参见注释 1
CVE-2018-3009 Oracle Outside In Technology Outside In Filter HTTP 7.1 网络 需要 不变 8.5.3 参见注释 1
CVE-2018-3010 Oracle Outside In Technology Outside In Filter HTTP 7.1 网络 需要 不变 8.5.3 参见注释 1
CVE-2018-3092 Oracle Outside In Technology Outside In Filter HTTP 7.1 网络 需要 不变 8.5.3 参见注释 1
CVE-2018-3103 Oracle Outside In Technology Outside In Filter HTTP 7.1 网络 需要 不变 8.5.3 参见注释 1
CVE-2018-3093 Oracle Outside In Technology Outside In Filter HTTP 7.1 网络 需要 不变 8.5.3 参见注释 1
CVE-2018-3094 Oracle Outside In Technology Outside In Filter HTTP 7.1 网络 需要 不变 8.5.3 参见注释 1
CVE-2018-3095 Oracle Outside In Technology Outside In Filter HTTP 7.1 网络 需要 不变 8.5.3 参见注释 1
CVE-2018-3096 Oracle Outside In Technology Outside In Filter HTTP 7.1 网络 需要 不变 8.5.3 参见注释 1
CVE-2018-3097 Oracle Outside In Technology Outside In Filter HTTP 7.1 网络 需要 不变 8.5.3 参见注释 1
CVE-2018-3104 Oracle Outside In Technology Outside In Filter HTTP 7.1 网络 需要 不变 8.5.3 参见注释 1
CVE-2018-3098 Oracle Outside In Technology Outside In Filter HTTP 7.1 网络 需要 不变 8.5.3 参见注释 1
CVE-2018-3099 Oracle Outside In Technology Outside In Filter HTTP 7.1 网络 需要 不变 8.5.3 参见注释 1
CVE-2018-2925 BI Publisher Web 服务器 HTTP 6.5 网络 不变 11.1.1.7.0、11.1.1.9.0、12.2.1.2.0、12.2.1.3.0  
CVE-2018-0739 Oracle API Gateway Oracle API Gateway (OpenSSL) HTTPS 6.5 网络 需要 不变 11.1.2.4.0  
CVE-2018-3109 Oracle Fusion Middleware MapViewer Map Builder HTTP 6.5 网络 不变 12.2.1.2、12.2.1.3  
CVE-2018-0739 Oracle Tuxedo SSL/TLS (OpenSSL) HTTPS 6.5 网络 需要 不变 12.1.1  
CVE-2016-9843 Oracle Outside In Technology Outside In Search Export SDK (zlib) HTTP 6.3 网络 需要 不变 8.5.3 参见注释 1
CVE-2018-2987 Oracle WebLogic Server 控制台 HTTP 6.1 网络 需要 改变 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3  
CVE-2015-0204 Oracle Internet Directory SSL/TLS HTTPS 5.9 网络 不变 11.1.1.9.0 参见注释 2
CVE-2018-2998 Oracle WebLogic Server SAML HTTP 5.4 网络 不变 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3  
CVE-2011-4461 Oracle Endeca Information Discovery Studio Studio (Jetty) HTTP 5.3 网络 不变 3.1、3.2  
CVE-2018-3108 Oracle 融合中间件 Oracle 通知服务 HTTPS 5.3 网络 不变 12.2.1.2、12.2.1.3  
CVE-2018-3101 Oracle WebCenter Portal Portlet 服务 HTTP 5.3 网络 不变 11.1.1.9.0、12.2.1.2.0、12.2.1.3.0  
CVE-2018-2933 Oracle WebLogic Server WLS 核心组件 HTTP 4.9 网络 改变 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3 参见注释 3
CVE-2018-3105 Oracle SOA Suite Health Care FastPath HTTP 4.3 网络 不变 11.1.1.7.0、11.1.1.9.0、12.1.3.0.0、12.2.1.2.0、12.2.1.3.0  
 

注:

  1. Outside In Technology 是一个软件开发工具包 (SDK) 套件。协议和 CVSS 评分取决于使用 Outside In Technology 代码的软件。CVSS 评分假定该软件将通过网络收到的数据直接传递给 Outside In Technology 代码,但如果数据不是通过网络收到的,CVSS 评分可能更低。
  2. 有关如何解决这个问题的说明,请参阅 MOS 文档(文档 ID 2420947.1)。
  3. 有关如何解决这个问题的说明,请参阅 MOS 文档(文档 ID 2421480.1)。

下面是解决的其他 CVE:

  • CVE-2016-9843 修复程序还解决了 CVE-2014-8157、CVE-2014-9029、CVE-2014-9746、CVE-2015-3414、CVE-2015-3415、CVE-2015-3416、CVE-2016-0718、CVE-2016-5300、CVE-2016-9841 和 CVE-2017-10989。
  • CVE-2018-0739 修复程序还解决了 CVE-2017-3735、CVE-2017-3736、CVE-2017-3738 和 CVE-2018-0733。
  • CVE-2018-1275 修复程序还解决了 CVE-2018-1270、CVE-2018-1271 和 CVE-2018-1272。
  • CVE-2018-7489 修复程序还解决了 CVE-2017-7525。

 

Oracle 酒店管理应用风险表

该重要补丁更新包含 24 个针对 Oracle 酒店管理应用的新安全修复程序。其中 7 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2018-2984 Oracle Hospitality Cruise Fleet Management System Gangway Activity Web 应用 HTTP 8.1 网络 不变 9.x  
CVE-2016-1181 Oracle Hospitality Gift and Loyalty 报告 (Struts 1) HTTP 8.1 网络 不变 9.0.0  
CVE-2016-1181 Oracle Hospitality Gift and Loyalty iCard.net (Struts 1) HTTP 8.1 网络 不变 9.0.0  
CVE-2018-2956 Oracle Hospitality OPERA 5 Property Services 集成 8.1 本地 改变 5.5.x  
CVE-2016-1181 Oracle Hospitality Reporting and Analytics 配置 (Struts 1) HTTP 8.1 网络 不变 9.0.0  
CVE-2016-1181 Oracle Hospitality Reporting and Analytics 报告 (Struts 1) HTTP 8.1 网络 不变 9.0.0  
CVE-2016-1181 Oracle Hospitality Reporting and Analytics 报告 (Struts 1) HTTP 8.1 网络 不变 9.0.0  
CVE-2018-2957 Oracle Hospitality OPERA 5 Property Services 日志记录 HTTP 7.5 网络 不变 5.5.x  
CVE-2018-3002 Oracle Hospitality Cruise Fleet Management System Fleet Management System Suite 7.1 本地 改变 9.x  
CVE-2018-3000 Oracle Hospitality Cruise Shipboard Property Management System SPMS Suite 7.1 本地 改变 8.x  
CVE-2018-2978 Oracle Hospitality Simphony 导入/导出 HTTP 7.1 网络 不变 2.8、2.9、2.10  
CVE-2018-3013 Oracle Hospitality OPERA 5 Property Services 报告服务器配置 HTTP 6.5 网络 不变 5.5.x  
CVE-2018-3014 Oracle Hospitality OPERA 5 Property Services 报告 HTTP 6.5 网络 不变 5.5.x  
CVE-2017-0785 MICROS 手持终端 MC40 Zebra 手持设备 (WiFi) 6.2 本地 不变 Android 4.4.4,2018 年 2 月 1 日之前的安全补丁公告  
CVE-2018-3003 Oracle Hospitality Cruise Fleet Management System Fleet Management System Suite 6.2 本地 不变 9.x  
CVE-2018-3001 Oracle Hospitality Cruise Shipboard Property Management System SPMS Suite 6.2 本地 不变 8.x  
CVE-2017-5715 MICROS 700 系列平板电脑 MICROS Tablet 720 (BIOS) 5.6 本地 改变 BIOS 0.01.25ORC 之前的版本  
CVE-2017-5715 MICROS 700 系列平板电脑 MICROS Tablet 721 (BIOS) 5.6 本地 改变 BIOS 0.00.13ORC 之前的版本  
CVE-2017-5715 MICROS 厨房显示控制器 厨房显示系统 210 (BIOS) 5.6 本地 改变 BIOS 0.00.16ORC 之前的版本  
CVE-2017-5715 MICROS Workstation 6 Workstation 610(BIOS 32 位) 5.6 本地 改变 BIOS 1.5.2.0 之前的版本  
CVE-2017-5715 MICROS Workstation 6 Workstation 610(BIOS 64 位) 5.6 本地 改变 BIOS 2.3.1.0 之前的版本  
CVE-2017-5715 MICROS Workstation 6 Workstation 620 (BIOS) 5.6 本地 改变 BIOS 1.3.1.0 之前的版本  
CVE-2017-5715 MICROS Workstation 6 Workstation 650 (BIOS) 5.6 本地 改变 BIOS 1.3.1.0 之前的版本  
CVE-2018-2955 Oracle Hospitality OPERA 5 Property Services 集成 HTTP 5.3 网络 不变 5.5.x  
 

下面是解决的其他 CVE:

  • CVE-2016-1181 修复程序还解决了 CVE-2014-0114、CVE-2015-6420 和 CVE-2016-1182。
  • CVE-2017-0785 修复程序还解决了 CVE-2017-13088 和 CVE-2017-13218。

 

Oracle Hyperion 风险表

该重要补丁更新包含 2 个针对 Oracle Hyperion 的新安全修复程序。这 2 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2018-2907 Hyperion Financial Reporting 安全模块 HTTP 8.6 网络 改变 11.1.2  
CVE-2018-2915 Hyperion Data Relationship Management 访问和安全 HTTPS 5.8 网络 改变 11.1.2.4.330  
 


 

Oracle 网上学习风险表

该重要补丁更新包含 1 个针对 Oracle 网上学习的新安全修复程序。此漏洞无需身份验证即可远程利用,即,无需用户凭证即可通过网络利用该漏洞。在此可获取此风险表的英语文本形式。



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2018-2989 Oracle 网上学习 学员管理 HTTP 8.2 网络 需要 改变 6.2  
 


 

Oracle 保险应用风险表

该重要补丁更新包含 2 个针对 Oracle 保险应用的新安全修复程序。这 2 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2017-5645 Oracle保单管理 保单管理 (Apache Log4j) HTTP 9.8 网络 不变 10.0、10.1、10.2、11.0  
CVE-2018-1275 Oracle保单管理 保单管理 (Spring Framework) HTTP 9.8 网络 不变 10.0、10.1、10.2、11.0  
 


 

Oracle Java SE 风险表

该重要补丁更新包含 8 个针对 Oracle Java SE 的新安全修复程序。所有这些漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2018-2938 Java SE Java DB 多个 9.0 网络 改变 Java SE:6u191、7u181、8u172 参见注释 1
CVE-2018-2964 Java SE 部署 多个 8.3 网络 需要 改变 Java SE:8u172、10.0.1 参见注释 2
CVE-2018-2941 Java SE JavaFX 多个 8.3 网络 需要 改变 Java SE:7u181、8u172、10.0.1 参见注释 2
CVE-2018-2942 Java SE Windows DLL 多个 8.3 网络 需要 改变 Java SE:7u181、8u172 参见注释 3
CVE-2018-2972 Java SE 安全 多个 5.9 网络 不变 Java SE:10.0.1 参见注释 3
CVE-2018-2973 Java SE、Java SE Embedded JSSE SSL/TLS 5.9 网络 不变 Java SE:6u191、7u181、8u172、10.0.1;Java SE Embedded:8u171 参见注释 2
CVE-2018-2940 Java SE、Java SE Embedded 多个 4.3 网络 需要 不变 Java SE:6u191、7u181、8u172、10.0.1;Java SE Embedded:8u171 参见注释 2
CVE-2018-2952 Java SE、Java SE Embedded、JRockit 并发性 多个 3.7 网络 不变 Java SE:6u191、7u181、8u172、10.0.1;Java SE Embedded:8u171;JRockit:R28.3.18 参见注释 3
 

注:

  1. 该漏洞仅可以通过向指定组件中的 API 提供数据而利用,无需使用不受信任的 Java Web Start 应用或不受信任的 Java 小程序,如通过 Web 服务。CVE-2018-2938 解决了 CVE-2018-1313。
  2. 该漏洞适用于加载和运行不受信任的代码(例如,来自互联网的代码)并依赖 Java 沙盒获得安全性的 Java 部署(通常在运行沙盒 Java Web Start 应用或沙盒 Java 小程序的客户端中)。该漏洞不适用于仅加载和运行受信任的代码(例如,管理员安装的代码)的 Java 部署(通常在服务器中)。
  3. 适用于 Java 的客户端和服务器部署。该漏洞可通过沙盒 Java Web Start 应用和沙盒 Java 小程序利用。还可以通过向指定组件中的 API 提供数据来利用它,无需使用沙盒 Java Web Start 应用或沙盒 Java 小程序,如通过 Web 服务。

 

Oracle JD Edwards 产品风险表

该重要补丁更新包含 10 个针对 Oracle JD Edwards 产品的新安全修复程序。其中 9 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2018-2944 JD Edwards EnterpriseOne Tools 监视和诊断 HTTP 7.5 网络 不变 9.2  
CVE-2018-2947 JD Edwards EnterpriseOne Tools Web 运行时 HTTP 6.5 网络 不变 9.2  
CVE-2018-2945 JD Edwards EnterpriseOne Tools Web 运行时 HTTP 6.1 网络 需要 改变 9.2  
CVE-2018-2946 JD Edwards EnterpriseOne Tools Web 运行时 HTTP 6.1 网络 需要 改变 9.2  
CVE-2018-2948 JD Edwards EnterpriseOne Tools Web 运行时 HTTP 6.1 网络 需要 改变 9.2  
CVE-2018-2949 JD Edwards EnterpriseOne Tools Web 运行时 HTTP 6.1 网络 需要 改变 9.2  
CVE-2018-2950 JD Edwards EnterpriseOne Tools Web 运行时 HTTP 6.1 网络 需要 改变 9.2  
CVE-2018-2999 JD Edwards EnterpriseOne Tools Web 运行时 HTTP 6.1 网络 需要 改变 9.2  
CVE-2018-3006 JD Edwards EnterpriseOne Tools Web 运行时 HTTP 6.1 网络 需要 改变 9.2  
CVE-2017-3736 JD Edwards World Security GUI / World Vision (OpenSSL) HTTP 5.9 网络 不变 A9.3、A9.3.1、A9.4  
 

下面是解决的其他 CVE:

  • CVE-2017-3736 修复程序还解决了 CVE-2017-3735。

 

Oracle MySQL 风险表

该重要补丁更新包含 31 个针对 Oracle MySQL 的新安全修复程序。其中 7 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2017-5645 MySQL Enterprise Monitor Service Manager (Apache Log4j) Log4j 9.8 网络 不变 3.4.7.4297 及之前的版本、4.0.4.5235 及之前的版本、8.0.0.8131 及之前的版本  
CVE-2017-0379 MySQL Workbench Workbench:安全:加密 (libgcrypt) MySQL 协议 7.5 网络 不变 8.0.11 及之前的版本  
CVE-2018-3064 MySQL Server InnoDB MySQL 协议 7.1 网络 不变 5.6.40 及之前的版本、5.7.22 及之前的版本、8.0.11 及之前的版本  
CVE-2018-0739 MySQL Connectors Connector/ODBC (OpenSSL) HTTPS 6.5 网络 需要 不变 5.3.10 及之前的版本、8.0.11 及之前的版本  
CVE-2018-0739 MySQL Enterprise Monitor 监视:常规 (OpenSSL) HTTPS 6.5 网络 需要 不变 3.4.7.4297 及之前的版本、4.0.4.5235 及之前的版本、8.0.0.8131 及之前的版本  
CVE-2018-3070 MySQL Server 客户端 mysqldump MySQL 协议 6.5 网络 不变 5.5.60 及之前的版本、5.6.40 及之前的版本、5.7.22 及之前的版本  
CVE-2018-3060 MySQL Server InnoDB MySQL 协议 6.5 网络 不变 5.7.22 及之前的版本、8.0.11 及之前的版本  
CVE-2018-3065 MySQL Server 服务器:DML MySQL 协议 6.5 网络 不变 5.7.22 及之前的版本、8.0.11 及之前的版本  
CVE-2018-0739 MySQL Server 服务器:安装 (OpenSSL) MySQL 协议 6.5 网络 需要 不变 5.6.40 及之前的版本、5.7.22 及之前的版本、8.0.11 及之前的版本  
CVE-2018-3073 MySQL Server 服务器:优化器 MySQL 协议 6.5 网络 不变 8.0.11 及之前的版本  
CVE-2018-0739 MySQL Workbench Workbench:安全:加密 (OpenSSL) MySQL 协议 6.5 网络 需要 不变 8.0.11 及之前的版本  
CVE-2018-3074 MySQL Server 服务器:安全:角色 MySQL 协议 5.3 网络 不变 8.0.11 及之前的版本  
CVE-2018-3062 MySQL Server 服务器:Memcached memcached 5.3 网络 不变 5.6.40 及之前的版本、5.7.22 及之前的版本、8.0.11 及之前的版本  
CVE-2018-3081 MySQL 客户端 客户端程序 MySQL 协议 5.0 网络 不变 5.5.60 及之前的版本、5.6.40 及之前的版本、5.7.22 及之前的版本、8.0.11 及之前的版本  
CVE-2018-3071 MySQL Server 审计日志 MySQL 协议 4.9 网络 不变 5.7.22 及之前的版本  
CVE-2018-3079 MySQL Server InnoDB MySQL 协议 4.9 网络 不变 8.0.11 及之前的版本  
CVE-2018-3054 MySQL Server 服务器:DDL MySQL 协议 4.9 网络 不变 5.7.22 及之前的版本、8.0.11 及之前的版本  
CVE-2018-3077 MySQL Server 服务器:DDL MySQL 协议 4.9 网络 不变 5.7.22 及之前的版本、8.0.11 及之前的版本  
CVE-2018-3078 MySQL Server 服务器:DDL MySQL 协议 4.9 网络 不变 8.0.11 及之前的版本  
CVE-2018-3080 MySQL Server 服务器:DDL MySQL 协议 4.9 网络 不变 8.0.11 及之前的版本  
CVE-2018-3061 MySQL Server 服务器:DML MySQL 协议 4.9 网络 不变 5.7.22 及之前的版本  
CVE-2018-3067 MySQL Server 服务器:复制 MySQL 协议 4.9 网络 不变 8.0.11 及之前的版本  
CVE-2018-3063 MySQL Server 服务器:安全:权限 MySQL 协议 4.9 网络 不变 5.5.60 及之前的版本  
CVE-2018-3075 MySQL Server 服务器:安全:权限 MySQL 协议 4.9 网络 不变 8.0.11 及之前的版本  
CVE-2018-3058 MySQL Server MyISAM MySQL 协议 4.3 网络 不变 5.5.60 及之前的版本、5.6.40 及之前的版本、5.7.22 及之前的版本  
CVE-2018-3056 MySQL Server 服务器:安全:权限 MySQL 协议 4.3 网络 不变 5.7.22 及之前的版本、8.0.11 及之前的版本  
CVE-2018-2598 MySQL Workbench Workbench:安全:加密 MySQL 协议 3.7 网络 不变 6.3.10 及之前的版本  
CVE-2018-3066 MySQL Server 服务器:选项 MySQL 协议 3.3 网络 不变 5.5.60 及之前的版本、5.6.40 及之前的版本、5.7.22 及之前的版本  
CVE-2018-2767 MySQL Server 服务器:安全:加密 MySQL 协议 3.1 网络 不变 5.5.60 及之前的版本、5.6.40 及之前的版本、5.7.22 及之前的版本  
CVE-2018-3084 MySQL Server Shell:核心/客户端 2.8 本地 需要 不变 8.0.11 及之前的版本  
CVE-2018-3082 MySQL Server 服务器:DDL MySQL 协议 2.7 网络 不变 8.0.11 及之前的版本  
 

下面是解决的其他 CVE:

  • CVE-2017-0379 修复程序还解决了 CVE-2017-9526。
  • CVE-2018-0739 修复程序还解决了 CVE-2017-3737 和 CVE-2017-3738。

 

Oracle PeopleSoft 产品风险表

该重要补丁更新包含 15 个针对 Oracle PeopleSoft 产品的新安全修复程序。其中 11 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2017-5645 PeopleSoft Enterprise FIN 安装 安全 (Apache Log4j) HTTP 9.8 网络 不变 9.2  
CVE-2018-1275 PeopleSoft Enterprise FIN 安装 安全 (Spring Framework) HTTP 9.8 网络 不变 9.2  
CVE-2018-2990 PeopleSoft Enterprise PeopleTools 集成代理 HTTP 7.4 网络 不变 8.55、8.56  
CVE-2018-2977 PeopleSoft Enterprise PeopleTools 集成代理 HTTP 6.5 网络 需要 不变 8.55、8.56  
CVE-2018-0739 PeopleSoft Enterprise PeopleTools 安全 (OpenSSL) HTTP 6.5 网络 需要 不变 8.55、8.56  
CVE-2018-2951 PeopleSoft Enterprise PeopleTools Configuration Manager 6.2 本地 不变 8.55、8.56  
CVE-2018-3068 PeopleSoft Enterprise HCM Human Resources 薪酬 HTTP 6.1 网络 需要 改变 9.2  
CVE-2018-2929 PeopleSoft Enterprise PeopleTools PIA Core Technology HTTP 6.1 网络 需要 改变 8.55、8.56  
CVE-2018-2919 PeopleSoft Enterprise PeopleTools 统一导航 HTTP 6.1 网络 需要 改变 8.55、8.56  
CVE-2018-2985 PeopleSoft Enterprise PeopleTools 工作流 HTTP 6.1 网络 需要 改变 8.55、8.56  
CVE-2018-2986 PeopleSoft Enterprise PeopleTools 工作流 HTTP 6.1 网络 需要 改变 8.55、8.56  
CVE-2018-3016 PeopleSoft Enterprise PeopleTools 集成代理 HTTP 5.4 网络 不变 8.55、8.56  
CVE-2018-3072 PeopleSoft HRMS 候选人网关 HTTP 5.3 网络 不变 9.2  
CVE-2018-2970 PeopleSoft Enterprise PeopleTools PIA 搜索功能 HTTP 4.3 网络 不变 8.55、8.56  
CVE-2018-3076 PeopleSoft Enterprise CS Financial Aid ISIR 处理 HTTP 2.7 网络 不变 9.0、9.2  
 

下面是解决的其他 CVE:

  • CVE-2018-0739 修复程序还解决了 CVE-2017-3738 和 CVE-2018-0733。
  • CVE-2018-1275 修复程序还解决了 CVE-2018-1270、CVE-2018-1271 和 CVE-2018-1272。

 

Oracle 政策自动化风险表

该重要补丁更新包含 3 个针对 Oracle 政策自动化的新安全修复程序。所有这些漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2017-5645 Oracle Policy Automation Determinations Engine (Apache Log4j) HTTP 9.8 网络 不变 10.4.7、12.1.0、12.1.1、12.2.0、12.2.1、12.2.2、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7、12.2.8、12.2.9、12.2.10  
CVE-2017-5645 Oracle Policy Automation Connector for Siebel 核心 (Apache Log4j) HTTP 9.8 网络 不变 10.4.6  
CVE-2017-5645 适用于移动设备的 Oracle Policy Automation 核心 (Apache Log4j) HTTP 9.8 网络 不变 10.4.7、12.1.0、12.1.1、12.2.0、12.2.1、12.2.2、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7、12.2.8、12.2.9、12.2.10  
 


 

Oracle 零售应用风险表

该重要补丁更新包含 31 个针对 Oracle 零售应用的新安全修复程序。其中 26 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2017-5533 MICROS Lucas 安全 (JasperReports) HTTP 9.8 网络 不变 2.9.5.3、2.9.5.4、2.9.5.5、2.9.5.6  
CVE-2017-5533 MICROS Relate CRM Software 内部运营 (JasperReports) HTTP 9.8 网络 不变 10.8.x、11.4.x  
CVE-2018-1275 Oracle 零售后端办公 安全 (Spring Framework) HTTP 9.8 网络 不变 14.0、14.1  
CVE-2018-1275 Oracle Retail Central Office 安全 (Spring Framework) HTTP 9.8 网络 不变 14.0、14.1  
CVE-2017-5645 Oracle Retail Clearance Optimization Engine General Application (Apache Log4j) HTTP 9.8 网络 不变 14.0.5  
CVE-2017-5645 Oracle Retail Financial Integration PeopleSoft Integration Bugs (Apache Log4j) HTTP 9.8 网络 不变 13.2.x、14.0.x、14.1.x、15.0.x、16.0.x、16.0.x  
CVE-2017-5645 Oracle 零售集成总线 RIB 内核 (Apache Log4j) HTTP 9.8 网络 不变 12.0.x、13.0.x、13.1.x、13.2.x、14.0.0、14.1.0、15.0、16.0  
CVE-2017-5533 Oracle 零售订单代理 订单代理基础 (JasperReports) HTTP 9.8 网络 不变 5.2、15.0、16.0  
CVE-2018-1275 Oracle 零售定点服务 基础设施 (Spring Framework) HTTP 9.8 网络 不变 14.0、14.1  
CVE-2017-5645 Oracle Retail Predictive Application Server RPAS Fusion Client (Apache Log4j) HTTP 9.8 网络 不变 15.0.3  
CVE-2018-1275 Oracle 零售退货管理 安全 (Spring Framework) HTTP 9.8 网络 不变 14.0、14.1  
CVE-2017-5645 Oracle 零售服务支柱 安装 (Apache Log4j) HTTP 9.8 网络 不变 14.0.x、14.1.x、15.0.x、16.0.x  
CVE-2017-5645 Oracle Retail Service Layer 安装 (Apache Log4j) HTTP 9.8 网络 不变 12.0.x、13.0.x、13.1.x、13.2.x、14.0.x  
CVE-2016-6814 Oracle 零售集成总线 RIB 内核 (Apache Groovy) HTTP 9.6 网络 需要 改变 12.0.x、13.0.x、13.1.x、13.2.x、14.0.x、14.1.x、15.0.x、16.0.x  
CVE-2016-6814 Oracle 零售服务支柱 安装 (Apache Groovy) HTTP 9.6 网络 需要 改变 16.0.025  
CVE-2016-1181 MICROS XBR 零售 (Apache Struts 1) HTTP 8.1 网络 不变 7.0.2、7.0.4  
CVE-2017-12617 Oracle Retail Convenience and Fuel POS Software OPT Server (Apache Tomcat) HTTP 8.1 网络 不变 2.1.132  
CVE-2016-3506 Oracle Retail Convenience and Fuel POS Software 销售点 HTTP 8.1 网络 不变 2.1.132  
CVE-2018-2882 MICROS Retail-J Interfaces HTTP 7.7 网络 改变 10.2.x、11.0.x、12.0.x、12.1.x、12.1.1.x、12.1.2.x、13.1.x  
CVE-2016-9878 Oracle 零售后端办公 安全 (Spring Framework) HTTP 7.5 网络 不变 14.0、14.1  
CVE-2016-9878 Oracle Retail Central Office 安全 HTTP 7.5 网络 不变 14.0、14.1  
CVE-2017-5664 Oracle Retail Convenience and Fuel POS Software OPT Server (Apache Tomcat) HTTP 7.5 网络 不变 2.1.132  
CVE-2015-7940 Oracle Retail Convenience and Fuel POS Software OPT Server(Bouncy Castle Java 库) HTTP 7.5 网络 不变 2.1.132  
CVE-2016-9878 Oracle 零售集成总线 安装 (Spring Framework) HTTP 7.5 网络 不变 14.0.x、14.1.x、15.0.x、16.0.x  
CVE-2016-9878 Oracle Retail Point-of-Sale 交易 (Spring Framework) HTTP 7.5 网络 不变 14.0、14.1  
CVE-2016-9878 Oracle 零售退货管理 安全 (Spring Framework) HTTP 7.5 网络 不变 14.0、14.1  
CVE-2018-2888 MICROS Retail-J 后端 6.7 物理 需要 改变 10.2.x、11.0.x、12.0.x、12.1.x、12.1.1.x、12.1.2.x、13.1.x  
CVE-2018-3052 MICROS Relate CRM Software 内部运营 HTTP 6.4 网络 改变 10.8.x、11.4.x  
CVE-2018-3053 Oracle Retail Customer Management and Segmentation Foundation 内部运营 HTTP 6.4 网络 改变 16.x、17.x  
CVE-2018-2881 MICROS Retail-J 数据库 HTTP 6.3 网络 不变 11.0.x、12.0.x、12.1.x、12.1.1.x、12.1.2.x、13.1.x  
CVE-2018-2891 Oracle Retail Bulk Data Integration BDI 作业调度程序 HTTP 6.1 网络 需要 改变 16.0  
 

下面是解决的其他 CVE:

  • CVE-2016-1181 修复程序还解决了 CVE-2014-0114 和 CVE-2016-1182。
  • CVE-2017-5533 修复程序还解决了 CVE-2017-5529。
  • CVE-2017-5664 修复程序还解决了 CVE-2016-8735。
  • CVE-2018-1275 修复程序还解决了 CVE-2016-9878、CVE-2018-1270、CVE-2018-1271 和 CVE-2018-1272。

 

Oracle Siebel CRM 风险表

该重要补丁更新包含 1 个针对 Oracle Siebel CRM 的新安全修复程序。此漏洞无需身份验证即可远程利用,即,无需用户凭证即可通过网络利用该漏洞。在此可获取此风险表的英语文本形式。



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2018-2959 Siebel UI Framework UIF Open UI HTTP 4.3 网络 需要 不变 18.0  
 


 

Oracle Sun 系统产品套件风险表

该重要补丁更新包含 22 个针对 Oracle Sun 系统产品套件的新安全修复程序。其中 10 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2018-2930 Solaris Cluster NAS 设备添加 RPC 9.8 网络 不变 3.3、4.3  
CVE-2015-7501 磁带库 ACSLS 软件 (Apache Commons Collections) 多个 8.8 网络 不变 ACSLS 8.4.0-3 之前的版本  
CVE-2018-3057 Sun ZFS Storage Appliance Kit (AK) API 框架 8.2 本地 改变 8.7.18 之前的版本  
CVE-2018-2928 Solaris RAD 多个 8.1 网络 需要 不变 11.3  
CVE-2018-2892 Solaris 可用性套件服务 7.8 本地 不变 10、11.3  
CVE-2018-2908 Solaris 内核 RPC 7.7 网络 改变 11.3  
CVE-2018-2926 Solaris NVIDIA-GFX 内核驱动程序 ISCSI 7.6 网络 不变 11.3  
CVE-2018-2918 Sun ZFS Storage Appliance Kit (AK) API 框架 多个 7.5 网络 需要 不变 8.7.18 之前的版本  
CVE-2018-2920 Sun ZFS Storage Appliance Kit (AK) API 框架 多个 7.4 网络 改变 8.7.19 之前的版本  
CVE-2018-2932 Oracle SuperCluster 特定软件 SuperCluster Virtual Assistant 多个 7.1 网络 需要 不变 2.5.0 之前的版本  
CVE-2018-1171 Solaris 内核 7.0 本地 不变 10、11.3  
CVE-2018-2921 Sun ZFS Storage Appliance Kit (AK) 用户界面 HTTP 5.8 网络 改变 8.7.18 之前的版本  
CVE-2018-2924 Sun ZFS Storage Appliance Kit (AK) API 框架 5.7 本地 改变 8.7.18 之前的版本  
CVE-2018-2937 Sun ZFS Storage Appliance Kit (AK) 用户界面 HTTP 5.3 网络 不变 8.7.19 之前的版本  
CVE-2018-2917 Sun ZFS Storage Appliance Kit (AK) API 框架 多个 5.3 网络 不变 8.7.18 之前的版本  
CVE-2018-2905 Sun ZFS Storage Appliance Kit (AK) 核心服务 SSL/TLS 5.3 网络 不变 8.7.20 之前的版本  
CVE-2018-2903 Solaris 内核 4.4 本地 不变 10、11.3  
CVE-2018-2927 Sun ZFS Storage Appliance Kit (AK) HTTP 数据路径子系统 HTTP 4.3 网络 不变 8.7.18 之前的版本  
CVE-2018-2906 Hardware Management Pack Ipmitool IPMI 3.7 网络 不变 11.3  
CVE-2018-2901 Solaris 内核 DHCP 3.7 网络 不变 10、11.2  
CVE-2018-2916 Sun ZFS Storage Appliance Kit (AK) API 框架 多个 2.7 网络 不变 8.7.18 之前的版本  
CVE-2018-2923 Sun ZFS Storage Appliance Kit (AK) 核心服务 2.3 本地 不变 8.7.20 之前的版本  
 


 

Oracle Supply Chain 产品套件风险表

该重要补丁更新包含 8 个针对 Oracle Supply Chain 产品套件的新安全修复程序。其中 6 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2017-5645 Oracle AutoVue VueLink Integration 安装问题 (Apache Log4j) HTTP 9.8 网络 不变 21.0.0、21.0.1  
CVE-2016-6814 Oracle Agile PLM 事件 Java PX (Apache Groovy) HTTP 9.6 网络 需要 改变 9.3.3、9.3.4、9.3.5、9.3.6  
CVE-2016-1181 Agile Recipe Management for Pharmaceuticals UI 组件 — 框架 (Apache Struts 1) HTTP 8.1 网络 不变 9.3.4  
CVE-2016-1181 Oracle Transportation Management 安装 (Apache Struts 1) HTTP 8.1 网络 不变 6.2、6.3.7、6.4.1  
CVE-2017-5662 Oracle Agile PLM MCAD Connector CAX 客户端 (Apache Batik) HTTP 7.3 网络 需要 不变 3.3、3.4、3.5、3.6  
CVE-2018-0739 Oracle Agile Engineering Data Management 安装 (OpenSSL) HTTP 6.5 网络 需要 不变 6.1.3、6.2.0、6.2.1  
CVE-2018-0739 Oracle Transportation Management 安装 (OpenSSL) HTTP 6.5 网络 需要 不变 6.2  
CVE-2018-3069 Oracle Agile Product Lifecycle Management for Process 安装 HTTP 2.7 网络 不变 6.2.0.0  
 

下面是解决的其他 CVE:

  • CVE-2016-1181 修复程序还解决了 CVE-2014-0114 和 CVE-2016-1182。
  • CVE-2018-0739 修复程序还解决了 CVE-2017-3738 和 CVE-2018-0733。

 

Oracle 支持工具风险表

该重要补丁更新包含 1 个针对 Oracle 支持工具的新安全修复程序。此漏洞无需身份验证即可远程利用,即,无需用户凭证即可通过网络利用该漏洞。在此可获取此风险表的英语文本形式。



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2018-1000300 OSS 支持工具 Services Tools Bundle (curl) HTTP 7.5 网络 需要 不变 18.3 之前的版本  
 

下面是解决的其他 CVE:

  • CVE-2018-1000300 修复程序还解决了 CVE-2018-1000120、CVE-2018-1000121、CVE-2018-1000122 和 CVE-2018-1000301。

 

Oracle 公用事业应用风险表

该重要补丁更新包含 4 个针对 Oracle 公用事业应用的新安全修复程序。其中 3 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2017-5645 Oracle 公用事业网络管理系统 日志记录 (Apache Log4j) HTTP 9.8 网络 不变 1.12.x、2.3.x  
CVE-2017-5645 Oracle 公用事业作业和资产管理 日志记录 (Apache Log4j) HTTP 9.8 网络 不变 1.9.1.2.12  
CVE-2016-5019 Oracle 公用事业框架 帮助 (Apache Trinidad) HTTP 7.5 网络 不变 4.3.x  
CVE-2017-5662 Oracle 公用事业网络管理系统 安装 (Apache Batik) HTTP 7.3 网络 需要 不变 1.12.x、2.3.x  
 


 

Oracle 虚拟化风险表

该重要补丁更新包含 12 个针对 Oracle 虚拟化的新安全修复程序。其中 2 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。



漏洞号 产品 组件 协议


无需身份验证即可远程利用?		 CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分		 攻击
途径		 攻击
复杂性		 所需
权限		 用户
交互		 范围 机密性 完整性 可用性
CVE-2018-3086 Oracle VM VirtualBox 核心 8.6 本地 需要 改变 5.2.16 之前的版本  
CVE-2018-3087 Oracle VM VirtualBox 核心 8.6 本地 需要 改变 5.2.16 之前的版本  
CVE-2018-3088 Oracle VM VirtualBox 核心 8.6 本地 需要 改变 5.2.16 之前的版本  
CVE-2018-3089 Oracle VM VirtualBox 核心 8.6 本地 需要 改变 5.2.16 之前的版本  
CVE-2018-3090 Oracle VM VirtualBox 核心 8.6 本地 需要 改变 5.2.16 之前的版本  
CVE-2018-3085 Oracle VM VirtualBox 核心 8.5 本地 需要 改变 5.2.16 之前的版本  
CVE-2018-1000300 Oracle Secure Global Desktop 核心 (curl) 多个 7.5 网络 需要 不变 5.3、5.4  
CVE-2018-3055 Oracle VM VirtualBox 核心 7.1 本地 需要 改变 5.2.16 之前的版本  
CVE-2018-1305 Oracle Secure Global Desktop Application Server (Apache Tomcat) HTTP 6.5 网络 不变 5.3、5.4  
CVE-2018-0739 Oracle Secure Global Desktop 核心 (OpenSSL) TLS 6.5 网络 需要 不变 5.3、5.4  
CVE-2018-3091 Oracle VM VirtualBox 核心 6.3 本地 需要 改变 5.2.16 之前的版本  
CVE-2018-3005 Oracle VM VirtualBox 核心 4.0 本地 不变 5.2.16 之前的版本  
 

下面是解决的其他 CVE:

  • CVE-2018-1000300 修复程序还解决了 CVE-2018-1000120、CVE-2018-1000121、CVE-2018-1000122 和 CVE-2018-1000301。
  • CVE-2018-1305 修复程序还解决了 CVE-2018-1304。