点石成金打一生肖
首頁 -> 安全研究

安全研究

安全漏洞
Oracle E-Business Suite cpuapr2019多個安全漏洞(CVE-2019-2638/CVE-2019-2633)

發布日期:2019-06-06
更新日期:2019-06-06

受影響系統:
Oracle E-Business Suite 12.2.8
Oracle E-Business Suite 12.2.7
Oracle E-Business Suite 12.2.6
Oracle E-Business Suite 12.2.5
Oracle E-Business Suite 12.2.4
Oracle E-Business Suite 12.2.3
Oracle E-Business Suite 12.1.3
Oracle E-Business Suite 12.1.2
Oracle E-Business Suite 12.1.1
描述:
BUGTRAQ  ID: 107938
CVE(CAN) ID: CVE-2019-2638/CVE-2019-2633

甲骨文公司的應用產品,全稱是Oracle 電子商務套件(E-Business Suit),是在原來Application(ERP)基礎上的擴展,包括ERP(企業資源計劃管理)、HR(人力資源管理)、CRM(客戶關系管理)等等多種管理軟件的集合,是無縫集成的一個管理套件。
CVE-2019-2633:Oracle E-Business Suite的Oracle Work in Process組件中的漏洞(子組件:消息)。受影響的受支持版本為12.1.1,12.1.2,12.1.3,12.2.3,12.2.4,12.2.5,12.2.6,12.2.7和12.2.8。易于利用的漏洞允許低權限攻擊者通過HTTP進行網絡訪問,從而危及Oracle Work in Process。成功攻擊此漏洞可能導致對關鍵數據或所有Oracle Work in Process可訪問數據的未授權創建,刪除或修改訪問,以及對關鍵數據的未授權訪問或對所有Oracle Work in Process可訪問數據的完全訪問。
CVE-2019-2638:Oracle E-Business Suite的Oracle General Ledger組件中的漏洞(子組件:Consolidation Hierarchy Viewer)。受影響的受支持版本為12.1.1,12.1.2,12.1.3,12.2.3,12.2.4,12.2.5,12.2.6,12.2.7和12.2.8。易于利用的漏洞允許通過HTTP進行網絡訪問的低權限攻擊者破壞Oracle總帳。成功攻擊此漏洞可能導致對關鍵數據或所有Oracle General Ledger可訪問數據的未授權創建,刪除或修改訪問,以及對關鍵數據的未授權訪問或對所有Oracle General Ledger可訪問數據的完全訪問。

<*來源:Onapsis的Martin Doyhenard
  
  鏈接:https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
*>

建議:
廠商補丁:

Oracle
------
Oracle已經為此發布了一個安全公告(CVE-2019-2638/CVE-2019-2633)以及相應補丁:
CVE-2019-2638/CVE-2019-2633:Oracle Critical Patch Update Advisory - April 2019
鏈接:https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

補丁下載:

瀏覽次數:2418
嚴重程度:0(網友投票)
本安全漏洞由綠盟科技翻譯整理,版權所有,未經許可,不得轉載
綠盟科技給您安全的保障
点石成金打一生肖