Oracle 重要补丁更新公告 — 2017 年 10 月

说明

重要补丁更新 (CPU) 是针对多个安全漏洞的补丁集合。重要补丁更新补丁通常是累积式的,但是每个公告只描述自上一个重要补丁更新公告以来添加的安全修复程序。因此,要了解有关以前发布的安全修复程序的信息,应该查看以前的重要补丁更新公告。请参见:

重要补丁更新和安全警报,获得有关 Oracle 安全公告的信息。

Oracle 将继续定期接收企图恶意利用 Oracle 已经针对其发布了修复程序的安全漏洞的报告。据报告可知,有些情况下由于目标客户未能应用可用的 Oracle 补丁,攻击者取得了成功。因此,Oracle 强烈建议客户继续使用受积极支持的版本,刻不容缓地应用重要补丁更新修复程序。

这个重要补丁更新包含针对下列产品系列的 252 个新的安全修复程序。请注意,2017 年 10 月重要补丁更新:执行概要和分析上的一个 MOS 说明总结了这个重要补丁更新的内容以及其他 Oracle 软件安全性保障活动。

请注意,Oracle 已于 2017 年 9 月 22 日布了安全警报 CVE-2017-9805。我们强烈建议受影响的 Oracle 产品的客户应用此安全警报中发布的修复程序以及此重要补丁更新中包含的修复程序

本重要补丁更新公告还提供了符合常见漏洞报告格式 (CVRF) 1.1 版的 XML 格式。这里提供了有关 Oracle 使用 CVRF 的更多信息。

受影响的产品和组件

该重要补丁更新解决的安全漏洞影响下面列出的产品。针对所列版本的补丁的产品领域显示在与指定的“受影响的产品和版本”列对应的“可用补丁”列中。请点击下面的“可用补丁”列中的链接,查看有关可用补丁信息和安装说明的文档。

有关与该重要补丁更新相关的 Oracle 产品文档概述,请参阅 2017 年 10 月重要文档更新文档概述 My Oracle Support 说明

下面是 Oracle 终身支持政策下标准支持或扩展支持所涵盖的受影响的产品版本列表:

受影响的产品和版本 可用补丁
Fujitsu M10-1、M10-4、M10-4S、M12-1、M12-2、M12-2S 服务器,XCP2340 之前的版本和 XCP3030 之前的版本 Oracle 和 Sun 系统产品套件
Java Advanced Management Console,版本 2.7 Oracle Java SE
JD Edwards EnterpriseOne Tools,版本 9.2 JD Edwards
JD Edwards World Security,版本 A9.1、A9.2、A9.3、A9.4 JD Edwards
Management Pack for Oracle GoldenGate,版本 11.2.1.0.12 融合中间件
MICROS Retail XBRi Loss Prevention,版本 10.0.1、10.5.0、10.6.0、10.7.7、10.8.0、10.8.1 零售应用
MySQL Connectors,版本 6.9.9 及之前的版本 Oracle MySQL 产品套件
MySQL Enterprise Monitor,版本 3.2.8.2223 及之前的版本、3.3.4.3247 及之前的版本、3.4.2.4181 及之前的版本 Oracle MySQL 产品套件
MySQL Server,版本 5.5.57 及之前的版本、5.6.37 及之前的版本、5.7.19 及之前的版本 Oracle MySQL 产品套件
Oracle Access Manager,版本 11.1.2.3.0 融合中间件
Oracle Agile Engineering Data Management,版本 6.1.3、6.2.0 Oracle Supply Chain 产品
Oracle Agile PLM,版本 9.3.5、9.3.6 Oracle Supply Chain 产品
Oracle API Gateway,版本 11.1.2.4.0 融合中间件
Oracle BI Publisher,版本 11.1.1.7.0、11.1.1.9.0、12.2.1.1.0、12.2.1.2.0 融合中间件
Oracle Business Intelligence 企业版,版本 11.1.1.7.0、11.1.1.9.0、12.2.1.1.0、12.2.1.2.0 融合中间件
Oracle Business Process Management Suite,版本 11.1.1.7.0、11.1.1.9.0、12.1.3.0.0、12.2.1.1.0、12.2.1.2.0 融合中间件
Oracle Communications Billing and Revenue Management,版本 7.5 Oracle 通信计费和收入管理
Oracle Communications Diameter Signaling Router (DSR),版本 7.x Oracle Communications Diameter Signaling Router
Oracle Communications EAGLE LNP Application Processor,版本 10.x Oracle Communications EAGLE LNP Application Processor
Oracle Communications Messaging Server,版本 8.x Oracle Communications Messaging Server
Oracle Communications Order and Service Management,版本 7.2.4.x.x、7.3.0.x.x、7.3.1.x.x、7.3.5.x.x Oracle 通信订单和服务管理
Oracle Communications Policy Management,版本 11.5, 12.x Oracle Communications Policy Management
Oracle Communications Services Gatekeeper,版本 5.1、6.0 Oracle 通信服务网关守卫
Oracle Communications Unified Session Manager,版本 SCz 7.x Oracle 通信统一会话管理器
Oracle Communications User Data Repository,版本 10.x Oracle Communications User Data Repository
Oracle Communications WebRTC Session Controller,版本 7.0、7.1、7.2 Oracle Communications WebRTC Session Controller
Oracle 数据库服务器,版本 11.2.0.4、12.1.0.2、12.2.0.1 数据库
Oracle Directory Server 企业版,版本 11.1.1.7.0 融合中间件
Oracle E-Business Suite,版本 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7 E-Business Suite
Oracle Endeca Information Discovery Integrator,版本 2.4、3.0、3.1、3.2 融合中间件
Oracle Engineering Data Management,版本 6.1.3.0、6.2.2.0 Oracle Supply Chain 产品
Oracle Enterprise Manager Ops Center,版本 12.2.2、12.3.2 Enterprise Manager
Oracle FLEXCUBE Universal Banking,版本 11.3、11.4.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0、12.3.0、12.4.0 Oracle 金融服务应用
Oracle 融合应用,版本 11.1.2 至 11.1.9 融合应用
Oracle Fusion Middleware,版本 11.1.1.7、11.1.1.9、11.1.2.2、11.1.2.3、12.1.3.0、12.2.1.1、12.2.1.2、12.2.1.3 融合中间件
Oracle GlassFish Server,版本 3.0.1、3.1.2 融合中间件
Oracle Healthcare Master Person Index,版本 4.x 健康科学
Oracle Hospitality Cruise AffairWhere,版本 2.2.5.0、2.2.6.0、2.2.7.0 Oracle Hospitality Cruise AffairWhere
Oracle Hospitality Cruise Fleet Management,版本 9.0.2.0 Oracle Hospitality Cruise Fleet Management
Oracle Hospitality Cruise Materials Management,版本 7.30.564.0 Oracle Hospitality Cruise Materials Management
Oracle Hospitality Cruise Shipboard Property Management System,版本 8.0.2.0 Oracle Hospitality Cruise Shipboard Property Management System
Oracle Hospitality Guest Access,版本 4.2.0、4.2.1 Oracle Hospitality Guest Access
Oracle Hospitality Hotel Mobile,版本 1.1 Oracle Hospitality Hotel Mobile
Oracle Hospitality OPERA 5 Property Services,版本 5.4.2.x 至 5.5.1.x Oracle Hospitality OPERA 5 Property Services
Oracle Hospitality Reporting and Analytics,版本 8.5.1、9.0.0 Oracle Hospitality Reporting and Analytics
Oracle Hospitality Simphony,版本 2.6、2.7、2.8、2.9 Oracle Hospitality Simphony
Oracle Hospitality Suite8,版本 8.10.1、8.10.2 Oracle Hospitality Suite8
Oracle HTTP Server,版本 11.1.1.7.0、11.1.1.9.0、12.1.3.0.0、12.2.1.1.0、12.2.1.2.0 融合中间件
Oracle Hyperion BI+,版本 11.1.2.4 融合中间件
Oracle Hyperion Financial Reporting,版本 11.1.2 融合中间件
Oracle Identity Manager,版本 11.1.2.3.0 融合中间件
Oracle Identity Manager Connector,版本 9.1.1.5.0 融合中间件
Oracle Integrated Lights Out Manager (ILOM),3.2.6 之前的版本 Oracle 和 Sun 系统产品套件
Oracle iPlanet Web Server,版本 7.0 融合中间件
Oracle Java SE,版本 6u161、7u151、8u144、9 Oracle Java SE
Oracle Java SE Embedded,版本 8u144 Oracle Java SE
Oracle JDeveloper,版本 12.1.3.0.0、12.2.1.2.0 融合中间件
Oracle JRockit,版本 R28.3.15 Oracle Java SE
Oracle Managed File Transfer,版本 12.1.3.0.0、12.2.1.1.0、12.2.1.2.0 融合中间件
Oracle Outside In Technology,版本 8.5.3.0 融合中间件
Oracle Retail Back Office,版本 13.2、13.3、13.4、14.0、14.1 零售应用
Oracle Retail Clearance Optimization Engine,版本 13.4 零售应用
Oracle Retail Convenience and Fuel POS Software,版本 2.1.132 零售应用
Oracle Retail Markdown Optimization,版本 13.4、14.0 零售应用
Oracle Retail Point-of-Service,版本 6.0.x、6.5.x、7.0.x、7.1.x、15.0.x、16.0.0 零售应用
Oracle Retail Store Inventory Management,版本 13.2.9、14.0.4、14.1.3、15.0.1、16.0.1 零售应用
Oracle Retail Xstore Point of Service,版本 6.0.11、6.5.11、7.0.6、7.1.6、15.0.1 零售应用
Oracle Secure Global Desktop (SGD),版本 5.3 Oracle Linux 和虚拟化
Oracle SOA Suite,版本 11.1.1.7.0 融合中间件
Oracle Transportation Management,版本 6.3.0、6.3.1、6.3.2、6.3.3、6.3.4、6.3.5、6.3.6、6.3.7、6.4.1、6.4.2 Oracle Supply Chain 产品
Oracle Virtual Directory,版本 11.1.1.7.0、11.1.1.9.0 融合中间件
Oracle VM VirtualBox,5.1.30 之前的版本 Oracle Linux 和虚拟化
Oracle WebCenter Content,版本 11.1.1.9.0、12.2.1.1.0、12.2.1.2.0 融合中间件
Oracle WebCenter Sites,版本 11.1.1.8.0、12.2.1.2.0 融合中间件
Oracle WebLogic Server,版本 10.3.6.0.0、12.1.3.0.0、12.2.1.1.0、12.2.1.2.0 融合中间件
PeopleSoft Enterprise FSCM,版本 9.2 PeopleSoft
PeopleSoft Enterprise HCM,版本 9.2 PeopleSoft
PeopleSoft Enterprise PeopleTools,版本 8.54、8.55、8.56 PeopleSoft
PeopleSoft Enterprise PRTL Interaction Hub,版本 9.1.00 PeopleSoft
PeopleSoft Enterprise PT PeopleTools,版本 8.54、8.55、8.56 PeopleSoft
PeopleSoft Enterprise SCM eProcurement,版本 9.1.00、9.2.00 PeopleSoft
Primavera Unifier,版本 9.13、9.14、10.x、15.x、16.x Oracle Construction and Engineering Suite
Siebel 应用,版本 16.0、17.0 Siebel
Solaris Cluster,版本 3.3、4.3 Oracle 和 Sun 系统产品套件
SPARC Enterprise M3000、M4000、M5000、M8000、M9000 服务器,XCP 1123 之前的版本 Oracle 和 Sun 系统产品套件
基于 SPARC M7、T7、S7 的服务器,9.7.6.b 之前的版本 Oracle 和 Sun 系统产品套件
Sun ZFS Storage Appliance Kit (AK),版本 AK 2013 Oracle 和 Sun 系统产品套件
Tekelec HLR Router,版本 4.x Tekelec HLR Router

注:

  • 影响 Oracle 数据库和 Oracle 融合中间件的漏洞可能会影响 Oracle 融合应用,因此 Oracle 客户应参阅 Oracle 融合应用重要补丁更新知识文档My Oracle Support 说明 1967316.1,了解有关要应用于融合应用环境的补丁的信息。
  • 使用浏览器运行 Java SE 的用户可以从 http://java.com/ 下载新版本。Windows 和 Mac OS X 平台上的用户还可以使用自动更新获取最新版本。
  • 影响 Oracle Solaris 的漏洞可能会影响 Oracle ZFSSA,因此 Oracle 客户应参阅 Oracle 和 Sun 系统产品套件重要补丁更新知识文档 My Oracle Support 说明 2160904.1,了解有关解决重要补丁更新 (CPU) 和 Solaris 第三方公告中发布的 ZFSSA 问题所需的安全修复程序最低修订版的信息。

风险表内容

风险表只列出公告涉及到的补丁新近修复的安全漏洞。之前的安全修复程序的风险表包含在之前的重要补丁更新公告中。在此可获取本文档中提供的风险表的英语文本版本。

该重要补丁更新提出的几个漏洞影响多个产品。每个漏洞都通过一个漏洞号来标识,该编号是相应漏洞的唯一标识符。一个影响多个产品的漏洞将在所有风险表中显示相同的漏洞号。用斜体 显示的漏洞号表明该漏洞不仅影响斜体漏洞号所在行的产品,还影响其他产品。

安全漏洞使用 CVSS 3.0 版进行评估(请参阅用于解释 Oracle 如何应用 CVSS 3.0 的 Oracle CVSS 评估系统)。

Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不向客户公开有关此安全性分析的详细信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及利用得逞的潜在影响的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析自己的风险。有关详细信息,请参阅 Oracle 漏洞公开政策

风险表中的协议暗示其所有安全变体(如果适用)也将受到影响。例如,如果列出 HTTP 为受影响协议,则暗示 HTTPS(如果适用)也将受到影响。仅当协议的安全变体是唯一一个 受影响的变体时,才会在风险表中列出,例如,HTTPS 通常会列为 SSL 和 TLS 的漏洞。

解决方法

考虑到攻击得逞所带来的威胁,Oracle 强烈建议客户尽快应用 CPU 修复程序。如果不应用 CPU 修复程序,则无法通过阻止攻击所需的网络协议来降低攻击得逞的风险。对于需要特定权限或者需要访问特定程序包的攻击,对不需要这些权限的用户删除这些权限或者使其无法访问这些程序包可能有助于降低攻击得逞的风险。这两种方法都有可能损害应用功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。

漏掉的重要补丁更新

Oracle 强烈建议客户尽快应用安全修复程序。如果客户漏掉了一个或多个重要补丁更新,担心该 CPU 中未公布其修复程序的产品出现安全问题,请查看以前的重要补丁更新公告以确定要采取的行动。

产品依赖性

某些 Oracle 产品可能依赖于其他 Oracle 产品。因此,该重要补丁更新中发布的安全漏洞修复程序可能影响一个或多个相关的 Oracle 产品。有关这些相关产品以及对相关产品应用补丁的详细信息,请参阅 2017 年 10 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 2296870.1

重要补丁更新支持的产品和版本

只有终身支持政策的标准支持或扩展支持阶段中涵盖的产品版本才提供通过重要补丁更新计划发布的补丁。建议客户规划产品升级,以确保当前运行的版本可以应用通过重要补丁更新计划发布的补丁。

没有对未涵盖在标准支持或扩展支持之下的产品版本测试过是否存在该重要补丁更新提出的安全漏洞。但是,很可能受影响的版本的那些早期版本也会受这些安全漏洞的影响。因此,Oracle 建议客户升级到受支持的版本。

受支持的数据库、融合中间件、Oracle Enterprise Manager Base Platform(以前的“Oracle Enterprise Manager Grid Control”)和 Collaboration Suite 产品根据软件错误更正支持政策(参见 My Oracle Support 说明 209768.1)进行修补。有关支持政策和支持阶段的详细指南,请查看技术支持政策


处于延伸支持阶段的产品

已购买终身支持政策下的延伸支持的客户可以使用通过重要补丁更新计划发布的补丁。客户必须具有有效的延伸支持服务合同,才能在延伸支持阶段下载通过重要补丁更新计划发布的补丁。

致谢声明

该重要补丁更新修复的安全漏洞由以下人员或组织向 Oracle 报告:

  • Blue Canopy 的 Adam Willard:CVE-2017-10360
  • ERPScan 的 Alexey Tyurin:CVE-2017-10271
  • 一位匿名研究员通过 Beyond Security 的 SecuriTeam Secure Disclosure 计划:CVE-2017-10355
  • Onapsis 的 Andrés Blanco:CVE-2017-10336
  • Flexera Software 的 Secunia Research 的 Behzad Najjarpour Jabbari:CVE-2017-10051
  • Ambionics 的 Charles Fol:CVE-2017-10362
  • Divergent Security 的 Che-Chun Kuo:CVE-2017-10154
  • Christopher Tarquini:CVE-2017-10268
  • 瑞典公共就业服务局的 Daniel Ekberg:CVE-2017-10321
  • Daniel Fröjdendahl:CVE-2017-10293
  • Apple 的 David Litchfield:CVE-2017-10292
  • Identity Works LLC 的 Devin Rosenbauer:CVE-2017-10352
  • ERPScan 的 Dmitrii Iudin(即 @ret5et):CVE-2017-10373
  • NCC Group 的 Fabio Pires:CVE-2017-10310、CVE-2017-10312
  • Media Service 的 Federico Dotta:CVE-2017-10271
  • 威尼斯大学的 Francesco Palmarini:CVE-2017-10345、CVE-2017-10356
  • Onapsis 的 Gaston Traberg:CVE-2017-10281、CVE-2017-10332、CVE-2017-10347、CVE-2017-3444、CVE-2017-3445、CVE-2017-3446
  • Hassan El Hadary — Secure Misr:CVE-2017-10363
  • ING Services Polska 的 Jakub Palaczynski:CVE-2017-10034
  • SecureWorks 的 Jared McLaren:CVE-2017-10259
  • Secure Endpoints Inc. 的 Jeffrey Altman:CVE-2017-10388
  • Synack 的 Jonathan Diller:CVE-2017-10364
  • Datacom TSS 的 Joshua Graham:CVE-2017-10379
  • Internet Security Auditors 的 José Carlos Expósito:CVE-2017-10163
  • Onapsis 的 Juan Pablo Perez Etchegoyen:CVE-2017-10066、CVE-2017-10324、CVE-2017-10325、CVE-2017-10328、CVE-2017-10329、CVE-2017-10330、CVE-2017-10331、CVE-2017-10336
  • loopx9:CVE-2017-10352
  • Lukasz Mikula:CVE-2017-10060
  • NES 的 Léa Nuel:CVE-2017-10055
  • ING Services Polska 的 Marcin Wołoszyn:CVE-2017-10163、CVE-2017-10312、CVE-2017-10358、CVE-2017-10359
  • 威尼斯大学的 Marco Squarcina:CVE-2017-10345、CVE-2017-10356
  • Onapsis 的 Martin Doyhenard:CVE-2017-10322、CVE-2017-10326、CVE-2017-10332
  • NCC Group 的 Mathew Nash:CVE-2017-10310、CVE-2017-10312
  • Onapsis 的 Matias Mevied:CVE-2017-10323、CVE-2017-3444、CVE-2017-3445、CVE-2017-3446
  • 威尼斯大学的 Mauro Tempesta:CVE-2017-10345、CVE-2017-10356
  • SourceClear 的 Ming Yi Ang:CVE-2017-10385、CVE-2017-10391、CVE-2017-10393、CVE-2017-10400
  • ERPScan 的 Nikita Egorov:CVE-2017-10304、CVE-2017-10306
  • Orange Tsai:CVE-2017-10295
  • IS 的 Owais Mehtab:CVE-2017-10026、CVE-2017-10259
  • Reno Robert:CVE-2017-10392、CVE-2017-10407、CVE-2017-10408、CVE-2017-10428
  • 威尼斯大学的 Riccardo Focardi:CVE-2017-10345、CVE-2017-10356
  • SIA Group 的 Sebastian Cornejo:CVE-2017-10033
  • OTE Hellenic Telecommunications Organization S.A. 的 Spyridon Chatzimichail:CVE-2017-10152
  • Source Incite 的 Steven Seeley:CVE-2017-10309
  • Tamas Szakaly:CVE-2017-10309
  • IS 的 Tayeeb Rana:CVE-2017-10026、CVE-2017-10259
  • modzero 的 Tobias Ospelt:CVE-2017-10356
  • Mnemonic AS 的 Tor Erling Bjorstad:CVE-2017-10060
  • Exodus Intelligence 的 Travis Emmert:CVE-2017-10369
  • Tushar Parab:CVE-2017-10159
  • ERPScan 的 Vahagn Vardanyan:CVE-2017-10366、CVE-2017-10409、CVE-2017-10410、CVE-2017-10411、CVE-2017-10412、CVE-2017-10413、CVE-2017-10414、CVE-2017-10415、CVE-2017-10416、CVE-2017-10417
  • SIA Group 的 Vicente Motos:CVE-2017-10033
  • Zakaria Amous:CVE-2017-10261

深度安全贡献者

Oracle 向那些为我们的深度安全计划作出贡献的人表示感谢(参见常见问题解答)。对于导致在以后版本中大量修改 Oracle 代码或文档但是严重程度不足以归类到重要补丁更新中的安全漏洞问题,如果有人提供相关的信息、发现或建议,则会因为深度安全作出贡献而受到褒奖。

在此重要补丁更新公告中,Oracle 向以下为 Oracle 深度安全计划作出贡献的人们表示感谢:

  • Andreev Ivan
  • Ian Haken
  • 美国能源部桑迪亚国家实验室的 Jayson Grace
  • Onapsis 的 Juan Pablo Perez Etchegoyen
  • Mohammad Abdullah - ErrOr SquaD Bangladesh
  • Motorola Solutions 的 Or Hanuka
  • Security Innovation 的 Steven Danneman
  • Tansel ÇETİN
  • Motorola Solutions 的 Tzachy Horesh

在线业务安全贡献者

Oracle 向那些为我们的在线业务安全计划作出贡献的人表示感谢(参见常见问题解答)。如果有人提供会导致在以后版本中大量修改 Oracle 面向外部的在线系统安全问题相关的信息、发现或建议,则会因为在线业务安全作出贡献而受到褒奖。

在本季度中,Oracle 向以下为 Oracle 在线业务安全计划作出的贡献的人们表示感谢:

  • Abdelfattah Ibrahim
  • Abhineeti Singh
  • Blue Canopy 的 Adam Willard
  • Ahsan Khan
  • Ali Ardic
  • Athul Jayaram
  • Berk İmran
  • Doğukan Karaciğer
  • Emad Abou Shanab 的 Emad Shanab
  • Karthik Reddy
  • Krishna Manoj Vandavasi
  • Lecamen Nartatez
  • Muhammad Osama
  • Mushraf Mustafa(3 个报告)
  • Pal Patel
  • S. Venkatesh
  • SaifAllah benMassaoud
  • Teemu Kääriäinen
  • Vinod Kurup
  • Yassine Nafiai
  • Çağatay Çalı

重要补丁更新时间表

重要补丁更新在距 1 月、4 月、7 月和 10 月的第 17 日最近的星期二发布。接下来的四个日期为:

  • 2018 年 1 月 16 日
  • 2018 年 4 月 17 日
  • 2018 年 7 月 17 日
  • 2018 年 10 月 16 日

参考资料


修改记录

日期 说明
2017 年 10 月 17 日 修订版 1。初始版本。

 

 

 

附录 — Oracle 数据库服务器

Oracle 数据库服务器执行概要

该重要补丁更新包含 6 个针对 Oracle 数据库服务器的新安全修复程序。其中 2 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。所有这些修复程序都不适用于仅客户端的安装(即,没有安装 Oracle 数据库服务器的安装)。在此可获取此风险表的英语文本形式。

Oracle 数据库服务器风险表


漏洞号 组件 所需的程序包和/或权限 协议


无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分
攻击
途径
攻击
复杂性
所需
权限
用户
交互
范围 机密性 完整性 可用性
CVE-2017-10321 Core RDBMS 具备 Create Session 权限 Oracle Net 8.8 本地 改变 11.2.0.4、12.1.0.2、12.2.0.1 参见注释 1
CVE-2016-6814 Spatial (Apache Groovy) 多个 8.3 网络 需要 改变 12.2.0.1 参见注释 2
CVE-2017-10190 Java VM 具备 Create Session、Create Procedure 权限 多个 8.2 本地 改变 11.2.0.4、12.1.0.2、12.2.0.1  
CVE-2016-8735 WLM (Apache Tomcat) 多个 8.1 网络 不变 12.2.0.1  
CVE-2017-10261 XML 数据库 具备 Create Session 权限 Oracle Net 6.5 本地 改变 11.2.0.4、12.1.0.2 参见注释 3
CVE-2017-10292 RDBMS Security 具备 Create User 权限 Oracle Net 2.3 本地 不变 11.2.0.4、12.1.0.2、12.2.0.1  
 

注:

  1. 此评分适用于数据库的 Windows 平台 11.2.0.4 版。对于 Windows 平台 12.1.0.2 版和 Linux,评分为 7.8,范围不变。
  2. 组件可以根据需要进行安装。不包括在默认安装中。
  3. 此评分适用于数据库的 Windows 平台 11.2.0.4 版。对于 Windows 平台 12.1.0.2 版和 Linux,评分为 5.5,范围不变。

下面是解决的其他 CVE:

  • CVE-2016-8735 修复程序还解决了 CVE-2016-6816 和 CVE-2016-8745

 

附录 — Oracle 通信应用

Oracle 通信应用执行概要

该重要补丁更新包含 23 个针对 Oracle 通信应用的新安全修复程序。其中 18 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

Oracle 通信应用风险表


漏洞号 产品 组件 协议


无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分
攻击
途径
攻击
复杂性
所需
权限
用户
交互
范围 机密性 完整性 可用性
CVE-2017-5461 Oracle Communications Messaging Server 安全 (NSS) 多个 9.8 网络 不变 8.x  
CVE-2016-5019 Oracle 通信服务网关守卫 安全 (Apache Trinidad) HTTP 9.8 网络 不变 5.1、6.0  
CVE-2015-0235 Oracle Communications User Data Repository 安全 (glibc) 多个 9.8 网络 不变 10.x  
CVE-2015-3253 Oracle Communications WebRTC Session Controller 安全 (Apache Groovy) HTTP 9.8 网络 不变 7.0、7.1、7.2  
CVE-2015-0235 Oracle Communications WebRTC Session Controller 媒体 (glibc) TLS 9.8 网络 不变 7.0、7.1、7.2  
CVE-2015-7501 Oracle Communications WebRTC Session Controller 安全 (Apache Commons Collections) HTTP 8.8 网络 不变 7.0、7.1、7.2  
CVE-2016-0635 Oracle Communications WebRTC Session Controller 安全 (Spring) HTTP 8.8 网络 不变 7.0、7.1、7.2  
CVE-2016-2107 Oracle Communications WebRTC Session Controller 安全 (OpenSSL) TLS 8.2 网络 不变 7.0、7.1、7.2  
CVE-2014-0224 Tekelec HLR Router 安全 (OpenSSL) TLS 8.1 网络 不变 4.x  
CVE-2016-7052 Oracle Communications Diameter Signaling Router (DSR) OAM 和信号 (OpenSSL) TLS 7.5 网络 不变 7.x  
CVE-2016-6304 Oracle 通信统一会话管理器 路由 (OpenSSL) TLS 7.5 网络 不变 SCz 7.x  
CVE-2014-0114 Oracle Communications WebRTC Session Controller 媒体 (BeanUtils) HTTP 7.3 网络 不变 7.0、7.1、7.2  
CVE-2014-0107 Oracle Communications WebRTC Session Controller 安全 (Xalan) HTTP 7.3 网络 不变 7.0、7.1、7.2  
CVE-2014-4345 Oracle Communications WebRTC Session Controller 安全 (Kerberos) 多个 7.3 网络 不变 7.0、7.1、7.2  
CVE-2015-7501 Oracle 通信订单和服务管理 安全 (Apache Commons Collections) 多个 7.1 网络 需要 改变 7.2.4.x.x、7.3.0.x.x、7.3.1.x.x、7.3.5.x.x  
CVE-2016-2381 Oracle 通信计费和收入管理 安全 (Perl) 多个 6.5 网络 不变 7.5  
CVE-2017-10153 Oracle Communications WebRTC Session Controller 安全 (Gson) 多个 6.3 网络 改变 7.0、7.1、7.2  
CVE-2017-10159 Oracle Communications Policy Management 门户、CMP HTTP 6.1 网络 需要 改变 11.5、12.x  
CVE-2017-3732 Oracle Communications EAGLE LNP Application Processor 补丁 (OpenSSL) TLS 5.9 网络 不变 10.x  
CVE-2014-3538 Oracle Communications WebRTC Session Controller 安全 (file) HTTP 5.3 网络 不变 7.0、7.1、7.2  
CVE-2014-8714 Oracle Communications WebRTC Session Controller 安全 (Wireshark) 多个 5.3 网络 不变 7.0、7.1、7.2  
CVE-2014-0062 Oracle Communications WebRTC Session Controller 安全 (Postgresql) 多个 4.2 网络 不变 7.0、7.1、7.2  
CVE-2014-3707 Oracle Communications WebRTC Session Controller 安全 (libcurl) HTTP 3.7 网络 不变 7.0、7.1、7.2  
 

下面是解决的其他 CVE:

  • CVE-2014-0062 修复程序还解决了 CVE-2014-0060
  • CVE-2014-0224 修复程序还解决了 CVE-2014-0076、CVE-2014-0195、CVE-2014-0198、CVE-2014-0221、CVE-2014-3470 和 CVE-2014-3571
  • CVE-2014-3538 修复程序还解决了 CVE-2014-3587
  • CVE-2014-3707 修复程序还解决了 CVE-2014-3613
  • CVE-2014-4345 修复程序还解决了 CVE-2014-4342
  • CVE-2014-8714 修复程序还解决了 CVE-2014-8713
  • CVE-2015-7501 修复程序还解决了 CVE-2015-4582
  • CVE-2016-2107 修复程序还解决了 CVE-2015-0207、CVE-2015-0208、CVE-2015-0209、CVE-2015-0285、CVE-2015-0286、CVE-2015-0287、CVE-2015-0288、CVE-2015-0289、CVE-2015-0290、CVE-2015-0291、CVE-2015-0292、CVE-2015-0293、CVE-2015-1787、CVE-2015-1793 和 CVE-2015-3195
  • CVE-2016-6304 修复程序还解决了 CVE-2016-2177、CVE-2016-2178、CVE-2016-2179、CVE-2016-2180、CVE-2016-2181、CVE-2016-2182、CVE-2016-2183、CVE-2016-6302、CVE-2016-6303 和 CVE-2016-6306
  • CVE-2016-7052 修复程序还解决了 CVE-2014-0224、CVE-2014-3569、CVE-2014-3570、CVE-2014-3571、CVE-2014-3572、CVE-2014-8275、CVE-2015-0204、CVE-2015-0205、CVE-2015-0206、CVE-2015-0207、CVE-2015-0208、CVE-2015-0209, CVE-2015-0285, CVE-2015-0286、CVE-2015-0287、CVE-2015-0288、CVE-2015-0289、CVE-2015-0290、CVE-2015-0291、CVE-2015-0292、CVE-2015-0293、CVE-2015-1787、CVE-2015-1788、CVE-2015-1789、CVE-2015-1790、CVE-2015-1791、CVE-2015-1792、CVE-2015-3193、CVE-2015-3194、CVE-2015-3195、CVE-2015-3196、CVE-2015-3197、CVE-2016-0701、CVE-2016-2177、CVE-2016-2178、CVE-2016-2179、CVE-2016-2180、CVE-2016-2181、CVE-2016-2182、CVE-2016-2183、CVE-2016-6302、CVE-2016-6303、CVE-2016-6304、CVE-2016-6305、CVE-2016-6306、CVE-2016-6307 和 CVE-2016-6308
  • CVE-2017-5461 修复程序还解决了 CVE-2015-7181、CVE-2015-7182、CVE-2015-7183、CVE-2015-7575、CVE-2016-1950、CVE-2016-1979、CVE-2016-2834、CVE-2016-5285、CVE-2017-5462 和 CVE-2017-7502

 

附录 — Oracle Construction and Engineering Suite

Oracle Construction and Engineering Suite 执行概要

该重要补丁更新包含 1 个针对 Oracle Construction and Engineering Suite 的新安全修复程序。此漏洞无需身份验证即可远程利用,即,无需用户凭证即可通过网络利用该漏洞。在此可获取此风险表的英语文本形式。

Oracle Construction and Engineering Suite 风险表


漏洞号 产品 组件 协议


无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分
攻击
途径
攻击
复杂性
所需
权限
用户
交互
范围 机密性 完整性 可用性
CVE-2016-6814 Primavera Unifier 平台 (Apache Groovy) HTTP 9.6 网络 需要 改变 9.13、9.14、10.x、15.x、16.x  
 


 

附录 — Oracle E-Business Suite

Oracle E-Business Suite 执行概要

该重要补丁更新包含 26 个针对 Oracle E-Business Suite 的新安全修复程序。其中 25 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

Oracle E-Business Suite 风险表


漏洞号 产品 组件 协议


无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分
攻击
途径
攻击
复杂性
所需
权限
用户
交互
范围 机密性 完整性 可用性
CVE-2017-10330 Oracle Common Applications Gantt Server HTTP 9.1 网络 不变 12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2017-10329 Oracle 全球订货承诺 重新安排销售订单 HTTP 9.1 网络 不变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2017-10416 Oracle Advanced Outbound Telephony 设置和配置 HTTP 8.2 网络 需要 改变 12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2017-10417 Oracle Advanced Outbound Telephony 设置和配置 HTTP 8.2 网络 需要 改变 12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2017-10325 Oracle Common Applications Calendar Applications Calendar HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2017-10326 Oracle Common Applications Calendar Applications Calendar HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2017-10303 Oracle Interaction Center Intelligence 安装 HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3  
CVE-2017-10414 Oracle 网上商店 结账和下单 HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2017-10409 Oracle 网上商店 商家 UI HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2017-10415 Oracle 网上支持 其他 HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2017-10410 Oracle 知识管理 搜索 HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2017-10411 Oracle 知识管理 用户界面 HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2017-10412 Oracle 知识管理 用户界面 HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2017-10413 Oracle 移动现场服务管理 基于 HTML5 的多平台 HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2017-3444 Oracle 贸易管理系统 用户界面 HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6  
CVE-2017-3445 Oracle 贸易管理系统 用户界面 HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6  
CVE-2017-3446 Oracle 贸易管理系统 用户界面 HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6  
CVE-2017-10323 Oracle Web Applications Desktop Integrator 应用服务 HTTP 8.2 网络 需要 改变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6  
CVE-2017-10328 Oracle Application Object Library 诊断 HTTP 7.5 网络 不变 12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2017-10332 Oracle Universal Work Queue 管理 HTTP 7.5 网络 不变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2017-10077 Oracle Applications DBA AD 实用程序 HTTP 6.5 网络 不变 12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2017-10331 Oracle Application Object Library 诊断 HTTP 5.3 网络 不变 12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2017-10324 Oracle Applications Technology Stack Oracle Forms HTTP 5.3 网络 不变 12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2017-10066 Oracle Applications Technology Stack Oracle Forms HTTP 5.3 网络 不变 12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2017-10322 Oracle Common Applications Calendar Applications Calendar HTTP 5.3 网络 不变 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
CVE-2017-10387 Oracle CRM Technical Foundation 首选项 HTTP 4.3 网络 需要 不变 12.1.3、12.2.3、12.2.4、12.2.5、12.2.6、12.2.7  
 


 

附录 — Oracle Enterprise Manager Grid Control

Oracle Enterprise Manager Grid Control 执行概要

该重要补丁更新包含 1 个针对 Oracle Enterprise Manager Grid Control 的新安全修复程序。此漏洞无需身份验证即可远程利用,即,无需用户凭证即可通过网络利用该漏洞。该修复程序不适用于仅客户端的安装(即,没有安装 Oracle Enterprise Manager Grid Control 的安装)。在此可获取此风险表的英语文本形式。

Oracle Enterprise Manager Grid Control 风险表


漏洞号 产品 组件 协议


无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分
攻击
途径
攻击
复杂性
所需
权限
用户
交互
范围 机密性 完整性 可用性
CVE-2016-6814 Oracle Enterprise Manager Ops Center 网络 (Apache Groovy) HTTP 9.6 网络 需要 改变 12.2.2、12.3.2  
 


 

附录 — Oracle 金融服务应用

Oracle 金融服务应用执行概要

该重要补丁更新包含 1 个针对 Oracle 金融服务应用的新安全修复程序。此漏洞必需身份验证才可远程利用,即,没有用户凭证就不能通过网络利用该漏洞。在此可获取此风险表的英语文本形式。

Oracle 金融服务应用风险表


漏洞号 产品 组件 协议


无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分
攻击
途径
攻击
复杂性
所需
权限
用户
交互
范围 机密性 完整性 可用性
CVE-2017-10363 Oracle FLEXCUBE Universal Banking 安全 HTTP 7.1 网络 不变 11.3、11.4.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0、12.3.0、12.4.0 参见注释 1
 

注:

  1. 联系支持部门获得修复程序

 

附录 — Oracle 融合中间件

Oracle 融合中间件执行概要

该重要补丁更新包含 40 个针对 Oracle 融合中间件的新安全修复程序。其中 26 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

Oracle 融合中间件风险表


漏洞号 产品 组件 协议


无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分
攻击
途径
攻击
复杂性
所需
权限
用户
交互
范围 机密性 完整性 可用性
CVE-2015-5254 Oracle BI Publisher BI Publisher 安全 (Apache ActiveMQ) HTTP 9.8 网络 不变 11.1.1.7.0、12.2.1.1.0、12.2.1.2.0 参见注释 1
CVE-2017-10271 Oracle WebLogic Server WLS Security HTTP 9.8 网络 不变 10.3.6.0.0、12.1.3.0.0、12.2.1.1.0、12.2.1.2.0  
CVE-2016-6814 Oracle JDeveloper Java Business Objects (Apache Groovy) HTTP 9.6 网络 需要 改变 12.2.1.2.0、12.1.3.0.0  
CVE-2015-7501 Oracle GoldenGate 管理包 监视 (Apache Commons Collections) HTTP 8.8 网络 不变 11.2.1.0.12  
CVE-2016-0714 Oracle GoldenGate 管理包 监视 (Apache Tomcat) HTTP 8.8 网络 不变 11.2.1.0.12  
CVE-2015-7501 Oracle Business Process Management Suite 安全 (Apache Commons Collections) HTTP 8.8 网络 不变 11.1.1.9.0、12.2.1.1.0  
CVE-2016-2834 Oracle Directory Server 企业版 管理服务器 (NSS) HTTPS 8.8 网络 需要 不变 11.1.1.7.0  
CVE-2015-7501 Oracle Endeca Information Discovery Integrator 安全 (Apache Commons Collections) HTTP 8.8 网络 不变 2.4、3.0、3.1、3.2  
CVE-2016-0635 Oracle Endeca Information Discovery Integrator 安全 (Spring Framework) HTTP 8.8 网络 不变 3.2  
CVE-2017-10034 Oracle BI Publisher Core Formatting API HTTP 8.2 网络 需要 改变 11.1.1.7.0、11.1.1.9.0  
CVE-2017-10060 Oracle Business Intelligence 企业版 Analytics Web General HTTP 8.2 网络 需要 改变 11.1.1.7.0、11.1.1.9.0、12.2.1.1.0、12.2.1.2.0  
CVE-2017-10270 Oracle Identity Manager 连接器 Microsoft Active Directory 8.2 本地 需要 改变 9.1.1.5.0  
CVE-2017-10026 Oracle SOA Suite Fabric 层 HTTP 8.2 网络 需要 改变 11.1.1.7.0  
CVE-2017-10360 Oracle WebCenter Content Content Server HTTP 8.2 网络 需要 改变 11.1.1.9.0、12.2.1.1.0、12.2.1.2.0  
CVE-2017-10259 Oracle Access Manager Web 服务器插件 HTTP 7.5 网络 不变 11.1.2.3.0  
CVE-2017-10037 Oracle BI Publisher Web 服务 API HTTP 7.5 网络 不变 11.1.1.7.0、11.1.1.9.0  
CVE-2015-7940 Oracle Business Process Management Suite Workspace and Process 门户(Bouncy Castle Java 软件包) HTTP 7.5 网络 不变 11.1.1.7.0、11.1.1.9.0、12.1.3.0.0、12.2.1.1.0、12.2.1.2.0  
CVE-2015-7940 Oracle Business Process Management Suite 运行时引擎(Bouncy Castle Java 软件包) HTTPS 7.5 网络 不变 11.1.1.7.0、11.1.1.9.0、12.1.3.0.0、12.2.1.1.0、12.2.1.2.0  
CVE-2016-3092 Oracle GlassFish Server Web 容器 (Apache Commons FileUpload) HTTP 7.5 网络 不变 3.1.2  
CVE-2015-7940 Oracle Managed File Transfer MFT 运行时服务器(Bouncy Castle Java 软件包) HTTPS 7.5 网络 不变 12.1.3.0.0、12.2.1.1.0、12.2.1.2.0  
CVE-2017-10369 Oracle Virtual Directory Virtual Directory Server HTTP 7.5 网络 不变 11.1.1.7.0、11.1.1.9.0  
CVE-2017-5662 Oracle API Gateway Oracle API Gateway (Apache Batik) HTTP 7.3 网络 需要 不变 11.1.2.4.0 参见注释 2
CVE-2017-10391 Oracle GlassFish Server 管理 HTTP 7.3 网络 不变 3.0.1、3.1.2  
CVE-2016-1181 Oracle Identity Manager OIM 原有 UI (Apache Struts 1) HTTP 6.6 网络 不变 11.1.2.3.0  
CVE-2017-10152 Oracle WebLogic Server Web 容器 HTTP 6.5 网络 不变 10.3.6.0.0、12.1.3.0.0  
CVE-2017-10163 Oracle Business Intelligence 企业版 Analytics Web General HTTP 6.3 网络 需要 不变 11.1.1.7.0、11.1.1.9.0、12.2.1.1.0、12.2.1.2.0 参见注释 3
CVE-2017-10385 Oracle GlassFish Server Web 容器 HTTP 6.3 网络 需要 不变 3.0.1、3.1.2  
CVE-2017-10393 Oracle GlassFish Server Web 容器 HTTP 6.3 网络 需要 不变 3.0.1、3.1.2  
CVE-2017-10055 Oracle iPlanet Web Server 管理图形用户界面 HTTP 6.1 网络 需要 改变 7.0  
CVE-2015-2808 Oracle HTTP Server Web Listener HTTP 5.9 网络 不变 11.1.1.7.0、11.1.1.9.0、12.1.3.0.0、12.2.1.1.0、12.2.1.2.0  
CVE-2017-10352 Oracle WebLogic Server WLS-WebServices HTTP 5.9 网络 不变 10.3.6.0.0、12.1.3.0.0、12.2.1.1.0、12.2.1.2.0  
CVE-2017-10051 Oracle Outside In Technology Outside In Filter HTTP 5.7 邻近
网络
不变 8.5.3.0 参见注释 4
CVE-2017-10400 Oracle GlassFish Server 管理图形用户界面 HTTP 5.4 网络 需要 不变 3.1.2  
CVE-2017-10154 Oracle Access Manager Web 服务器插件 HTTP 5.3 网络 不变 11.1.2.3.0  
CVE-2003-1418 Oracle HTTP Server Web Listener HTTP 5.3 网络 不变 11.1.1.9.0、12.1.3.0.0  
CVE-2017-10336 Oracle WebLogic Server Web 容器 HTTP 5.3 网络 不变 10.3.6.0.0、12.1.3.0.0、12.2.1.1.0、12.2.1.2.0  
CVE-2017-10334 Oracle WebLogic Server Web 容器 HTTP 4.3 网络 不变 10.3.6.0.0、12.1.3.0.0、12.2.1.1.0、12.2.1.2.0  
CVE-2017-10033 Oracle WebCenter Sites 支持工具 4.0 本地 不变 11.1.1.8.0、12.2.1.2.0 参见注释 5
CVE-2016-2183 Oracle HTTP Server OSSL 模块 HTTPS 3.7 网络 不变 11.1.1.7.0、11.1.1.9.0、12.1.3.0.0、12.2.1.1.0、12.2.1.2.0  
CVE-2017-10166 Oracle Security Service C Oracle SSL API HTTPS 3.7 网络 不变 FMW:11.1.1.9.0、12.1.3.0.0  
 

注:

  1. 有关如何解决这个问题的说明,请参阅文档 ID My Oracle Support 说明 2310008.1
  2. 有关如何解决这个问题的说明,请参阅文档 ID My Oracle Support 说明 2313917.1
  3. 有关如何解决这个问题的说明,请参阅文档 ID My Oracle Support 说明 2310021.1
  4. Outside In Technology 是一个软件开发工具包 (SDK) 套件。协议和 CVSS 评分取决于使用 Outside In Technology 代码的软件。CVSS 评分假定该软件将通过网络收到的数据直接传递给 Outside In Technology 代码,但如果数据不是通过网络收到的,CVSS 评分可能更低。
  5. 有关如何解决这个问题的说明,请参阅文档 ID My Oracle Support 说明 2318213.1

下面是解决的其他 CVE:

  • CVE-2015-2808 修复程序还解决了 CVE-2013-2566
  • CVE-2016-0714 修复程序还解决了 CVE-2015-5351、CVE-2016-0706 和 CVE-2016-0763
  • CVE-2016-1181 修复程序还解决了 CVE-2014-0114、CVE-2015-0899 和 CVE-2016-1182
  • CVE-2016-2834 修复程序还解决了 CVE-2016-1950 和 CVE-2016-1979

 

附录 — Oracle 健康科学应用

Oracle 健康科学应用执行概要

该重要补丁更新包含 1 个针对 Oracle 健康科学应用的新安全修复程序。此漏洞无需身份验证即可远程利用,即,无需用户凭证即可通过网络利用该漏洞。在此可获取此风险表的英语文本形式。

Oracle 健康科学应用风险表


漏洞号 产品 组件 协议


无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分
攻击
途径
攻击
复杂性
所需
权限
用户
交互
范围 机密性 完整性 可用性
CVE-2016-6814 Oracle 医疗卫生个人主索引 关系管理 (Apache Groovy) HTTP 9.6 网络 需要 改变 4.x  
 


 

附录 — Oracle 酒店管理应用

Oracle 酒店管理应用执行概要

该重要补丁更新包含 37 个针对 Oracle 酒店管理应用的新安全修复程序。其中 13 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

Oracle 酒店管理应用风险表


漏洞号 产品 组件 协议


无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分
攻击
途径
攻击
复杂性
所需
权限
用户
交互
范围 机密性 完整性 可用性
CVE-2017-10402 Oracle Hospitality Reporting and Analytics 报告 HTTP 10.0 网络 改变 8.5.1、9.0.0  
CVE-2017-10405 Oracle Hospitality Reporting and Analytics 报告 HTTP 10.0 网络 改变 8.5.1、9.0.0  
CVE-2017-10396 Oracle Hospitality Cruise AffairWhere AffairWhere HTTP 9.9 网络 改变 2.2.5.0、2.2.6.0、2.2.7.0  
CVE-2017-10404 Oracle Hospitality Reporting and Analytics iQuery HTTP 9.9 网络 改变 8.5.1、9.0.0  
CVE-2017-5664 Oracle Hospitality Guest Access Base (Apache Tomcat) HTTP 9.8 网络 不变 4.2.0、4.2.1  
CVE-2017-10401 Oracle Hospitality Cruise Materials Management MMSUpdater 8.7 本地 改变 7.30.564.0  
CVE-2017-10372 Oracle Hospitality Guest Access Base HTTP 8.7 网络 改变 4.2.0、4.2.1  
CVE-2017-10398 Oracle Hospitality Cruise Fleet Management BaseMasterPage 8.4 本地 改变 9.0.2.0  
CVE-2017-10050 Oracle Hospitality Suite8 WebConnect HTTP 8.2 网络 需要 改变 8.10.1、8.10.2  
CVE-2017-10403 Oracle Hospitality Reporting and Analytics iQuery HTTP 8.0 网络 需要 改变 8.5.1、9.0.0  
CVE-2017-5662 Oracle Hospitality Guest Access Base (Apache Batik) HTTP 7.3 网络 需要 不变 4.2.0、4.2.1  
CVE-2017-10353 Oracle Hospitality Hotel Mobile Suite8/RESTAPI HTTP 7.1 网络 不变 1.1  
CVE-2017-10370 Oracle Hospitality Guest Access Base HTTP 6.9 网络 需要 改变 4.2.0、4.2.1  
CVE-2017-10343 Oracle Hospitality Simphony 导入/导出 HTTP 6.5 网络 需要 不变 2.8、2.9  
CVE-2017-10344 Oracle Hospitality Simphony 导入/导出 HTTP 6.5 网络 不变 2.8、2.9  
CVE-2017-10421 Oracle Hospitality Suite8 Leisure HTTP 6.5 网络 不变 8.10.1、8.10.2  
CVE-2017-10316 Oracle Hospitality Suite8 WebConnect HTTP 6.5 网络 不变 8.10.1、8.10.2  
CVE-2017-10361 Oracle Hospitality Cruise Shipboard Property Management System OHC DRS HTTP 6.4 网络 改变 8.0.2.0  
CVE-2017-10420 Oracle Hospitality Suite8 Leisure HTTP 6.4 网络 改变 8.10.1、8.10.2  
CVE-2017-10397 Oracle Hospitality Cruise Fleet Management BaseMasterPage HTTP 6.1 网络 需要 改变 9.0.2.0  
CVE-2017-10339 Oracle Hospitality Suite8 WebConnect HTTP 5.9 网络 不变 8.10.1、8.10.2  
CVE-2017-10389 Oracle Hospitality Suite8 PMS 5.7 本地 需要 改变 8.10.1、8.10.2  
CVE-2017-10395 Oracle Hospitality Cruise Fleet Management GangwayActivityWebApp HTTP 5.4 网络 不变 9.0.2.0  
CVE-2017-10367 Oracle Hospitality Simphony 互动 HTTP 5.4 网络 需要 不变 2.8、2.9  
CVE-2017-10340 Oracle Hospitality Simphony 导入/导出 HTTP 5.4 网络 需要 不变 2.8、2.9  
CVE-2017-10425 Oracle Hospitality Simphony Service Host HTTP 5.4 网络 不变 2.6、2.7、2.8、2.9  
CVE-2017-10337 Oracle Hospitality Suite8 Leisure HTTP 5.4 网络 不变 8.10.1、8.10.2  
CVE-2017-10383 Oracle Hospitality Guest Access 界面 HTTP 5.3 网络 不变 4.2.0、4.2.1  
CVE-2017-10319 Oracle Hospitality Suite8 Leisure HTTP 5.3 网络 不变 8.10.1、8.10.2  
CVE-2017-10054 Oracle Hospitality Cruise Materials Management MMS 5.1 本地 不变 7.30.564.0  
CVE-2017-10419 Oracle Hospitality Suite8 PMS 5.1 本地 不变 8.10.1、8.10.2  
CVE-2017-10318 Oracle Hospitality Suite8 WebConnect HTTP 4.7 网络 需要 改变 8.10.1、8.10.2  
CVE-2017-10375 Oracle Hospitality Guest Access Base HTTP 4.6 网络 需要 不变 4.2.0、4.2.1  
CVE-2017-10197 Oracle Hospitality OPERA 5 Property Services Folios 4.6 物理 不变 5.4.2.x 至 5.5.1.x  
CVE-2017-10317 Oracle Hospitality Suite8 WebConnect 4.0 本地 不变 8.10.1、8.10.2  
CVE-2017-10014 Oracle Hospitality Hotel Mobile Suite8/RESTAPI HTTP 3.5 网络 需要 不变 1.1  
CVE-2017-10399 Oracle Hospitality Cruise Fleet Management GangwayActivityWebApp HTTP 3.1 网络 不变 9.0.2.0  
 

下面是解决的其他 CVE:

  • CVE-2017-5664 修复程序还解决了 CVE-2016-8735

 

附录 — Oracle Hyperion

Oracle Hyperion 执行概要

该重要补丁更新包含 4 个针对 Oracle Hyperion 的新安全修复程序。其中 3 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

Oracle Hyperion 风险表


漏洞号 产品 组件 协议


无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分
攻击
途径
攻击
复杂性
所需
权限
用户
交互
范围 机密性 完整性 可用性
CVE-2017-10310 Oracle Hyperion Financial Reporting 安全模块 HTTP 7.5 网络 不变 11.1.2  
CVE-2017-10312 Oracle Hyperion BI+ UI 和可视化 HTTP 7.1 网络 需要 不变 11.1.2.4  
CVE-2017-10358 Oracle Hyperion Financial Reporting Workspace HTTP 6.4 网络 改变 11.1.2  
CVE-2017-10359 Oracle Hyperion BI+ UI 和可视化 HTTP 5.4 网络 需要 不变 11.1.2.4  
 


 

附录 — Oracle Java SE

Oracle Java SE 执行概要

该重要补丁更新包含 22 个针对 Oracle Java SE 的新安全修复程序。其中 20 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。


以下 CVSS 评分假定运行 Java 小程序或 Java Web Start 应用的用户拥有管理员权限(这是 Windows 上的典型情况)。如果用户未以管理员权限运行(Solaris 和 Linux 的典型情况),则对机密性、完整性以及可用性的对应 CVSS 评分的影响是“低”而非“高”,降低了 CVSS 基本评分。例如,基本评分 9.6 变成 7.1。


用户应使用新的 JDK 和 JRE 8 中的默认 Java 插件和 Java Web Start。

Oracle Java SE 风险表


漏洞号 产品 组件 协议


无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分
攻击
途径
攻击
复杂性
所需
权限
用户
交互
范围 机密性 完整性 可用性
CVE-2017-10346 Java SE、Java SE Embedded Hotspot 多个 9.6 网络 需要 改变 Java SE:6u161、7u151、8u144, 9;Java SE Embedded:8u144 参见注释 1
CVE-2017-10285 Java SE、Java SE Embedded RMI 多个 9.6 网络 需要 改变 Java SE:6u161、7u151、8u144, 9;Java SE Embedded:8u144 参见注释 1
CVE-2017-10388 Java SE、Java SE Embedded Kerberos 7.5 网络 需要 不变 Java SE:6u161、7u151、8u144, 9;Java SE Embedded:8u144 参见注释 2
CVE-2017-10309 Java SE 部署 多个 7.1 网络 需要 改变 Java SE:8u144、9 参见注释 1
CVE-2017-10274 Java SE 智能卡 IO 多个 6.8 网络 需要 不变 Java SE:6u161、7u151、8u144、9 参见注释 1
CVE-2017-10356 Java SE、Java SE Embedded、JRockit 安全 6.2 本地 不变 Java SE:6u161、7u151、8u144, 9;Java SE Embedded:8u144;JRockit:R28.3.15 参见注释 3
CVE-2017-10293 Java SE Javadoc HTTP 6.1 网络 需要 改变 Java SE:6u161、7u151、8u144、9 参见注释 1
CVE-2017-10342 Java Advanced Management Console 服务器 多个 5.3 网络 不变 Java Advanced Management Console:2.7  
CVE-2017-10350 Java SE、Java SE Embedded JAX-WS 多个 5.3 网络 不变 Java SE:7u151、8u144、9;Java SE Embedded:8u144 参见注释 1
CVE-2017-10349 Java SE、Java SE Embedded JAXP 多个 5.3 网络 不变 Java SE:6u161、7u151、8u144, 9;Java SE Embedded:8u144 参见注释 1
CVE-2017-10348 Java SE、Java SE Embedded 多个 5.3 网络 不变 Java SE:6u161、7u151、8u144, 9;Java SE Embedded:8u144 参见注释 1
CVE-2017-10357 Java SE、Java SE Embedded 序列化 多个 5.3 网络 不变 Java SE:6u161、7u151、8u144, 9;Java SE Embedded:8u144 参见注释 1
CVE-2016-9841 Java SE、Java SE Embedded Util (zlib) 多个 5.3 网络 不变 Java SE:6u161、7u151、8u144;Java SE Embedded:8u144 参见注释 1
CVE-2016-10165 Java SE、Java SE Embedded、JRockit 2D (Little CMS 2) 多个 5.3 网络 不变 Java SE:7u151、8u144、9;Java SE Embedded:8u144;JRockit:R28.3.15 参见注释 3
CVE-2017-10355 Java SE、Java SE Embedded、JRockit 网络 多个 5.3 网络 不变 Java SE:6u161、7u151、8u144, 9;Java SE Embedded:8u144;JRockit:R28.3.15 参见注释 3
CVE-2017-10281 Java SE、Java SE Embedded、JRockit 序列化 多个 5.3 网络 不变 Java SE:6u161、7u151、8u144, 9;Java SE Embedded:8u144;JRockit:R28.3.15 参见注释 3
CVE-2017-10347 Java SE、JRockit 序列化 多个 5.3 网络 不变 Java SE:6u161、7u151、8u144, 9;Java SE Embedded:8u144 参见注释 1
CVE-2017-10386 Java Advanced Management Console 服务器 HTTP 4.8 网络 需要 改变 Java Advanced Management Console:2.7  
CVE-2017-10380 Java Advanced Management Console 服务器 HTTP 4.7 网络 需要 改变 Java Advanced Management Console:2.7  
CVE-2017-10295 Java SE、Java SE Embedded、JRockit 网络 HTTP 4.0 网络 改变 Java SE:6u161、7u151、8u144, 9;Java SE Embedded:8u144;JRockit:R28.3.15 参见注释 3
CVE-2017-10341 Java Advanced Management Console 服务器 多个 3.7 网络 不变 Java Advanced Management Console:2.7 参见注释 1
CVE-2017-10345 Java SE、Java SE Embedded、JRockit 序列化 多个 3.1 网络 需要 不变 Java SE:6u161、7u151、8u144, 9;Java SE Embedded:8u144;JRockit:R28.3.15 参见注释 3
 

注:

  1. 该漏洞适用于加载和运行不受信任的代码(例如,来自互联网的代码)并依赖 Java 沙盒获得安全性的 Java 部署(通常在运行沙盒 Java Web Start 应用或沙盒 Java 小程序的客户端中)。该漏洞不适用于仅加载和运行受信任的代码(例如,管理员安装的代码)的 Java 部署(通常在服务器中)。
  2. 适用于 Java SE Kerberos 客户端。
  3. 该漏洞可通过沙盒 Java Web Start 应用和沙盒 Java 小程序利用。它还可以通过向指定组件中的 API 提供数据而利用,无需使用沙盒 Java Web Start 应用或沙盒 Java 小程序,如通过 Web 服务。

下面是解决的其他 CVE:

  • CVE-2016-9841 修复程序还解决了 CVE-2016-9840、CVE-2016-9842 和 CVE-2016-9843

 

附录 — Oracle JD Edwards 产品

Oracle JD Edwards 产品执行概要

该重要补丁更新包含 2 个针对 Oracle JD Edwards 产品的新安全修复程序。这 2 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

Oracle JD Edwards 产品风险表


漏洞号 产品 组件 协议


无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分
攻击
途径
攻击
复杂性
所需
权限
用户
交互
范围 机密性 完整性 可用性
CVE-2017-3732 JD Edwards EnterpriseOne Tools 企业基础架构 SEC HTTPS 5.9 网络 不变 9.2  
CVE-2017-3732 JD Edwards World Security GUI / World Vision (OpenSSL) HTTPS 5.9 网络 不变 A9.1、A9.2、A9.3、A9.4  
 

下面是解决的其他 CVE:

  • CVE-2017-3732 修复程序还解决了 CVE-2016-7055、CVE-2017-3730、CVE-2017-3731 和 CVE-2017-3733

 

附录 — Oracle MySQL

Oracle MySQL 执行概要

该重要补丁更新包含 25 个针对 Oracle MySQL 的新安全修复程序。其中 6 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

Oracle MySQL 风险表


漏洞号 产品 组件 协议


无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分
攻击
途径
攻击
复杂性
所需
权限
用户
交互
范围 机密性 完整性 可用性
CVE-2017-10424 MySQL Enterprise Monitor 监视:Web MySQL 协议 8.8 网络 需要 不变 3.2.8.2223 及早期版本、3.3.4.3247 及早期版本、3.4.2.4181 及早期版本  
CVE-2017-5664 MySQL Enterprise Monitor 监视:常规 (Apache Tomcat) MySQL 协议 7.5 网络 不变 3.2.8.2223 及早期版本、3.3.4.3247 及早期版本、3.4.2.4181 及早期版本  
CVE-2017-10155 MySQL Server 服务器:可插拔身份验证 MySQL 协议 7.5 网络 不变 5.6.37 及早期版本、5.7.19 及早期版本  
CVE-2017-3731 MySQL Server 服务器:安全:加密 (OpenSSL) MySQL 协议 7.5 网络 不变 5.6.35 及早期版本、5.7.18 及早期版本  
CVE-2017-10379 MySQL Server 客户端程序 MySQL 协议 6.5 网络 不变 5.5.57 及早期版本、5.6.37 及早期版本、5.7.19 及早期版本  
CVE-2017-10384 MySQL Server 服务器:DDL MySQL 协议 6.5 网络 不变 5.5.57 及早期版本、5.6.37 及早期版本、5.7.19 及早期版本  
CVE-2017-10276 MySQL Server 服务器:FTS MySQL 协议 6.5 网络 不变 5.6.37 及早期版本、5.7.19 及早期版本  
CVE-2017-10167 MySQL Server 服务器:优化器 MySQL 协议 6.5 网络 不变 5.7.19 及早期版本  
CVE-2017-10378 MySQL Server 服务器:优化器 MySQL 协议 6.5 网络 不变 5.5.57 及早期版本、5.6.37 及早期版本、5.7.11 及早期版本  
CVE-2017-10277 MySQL Connectors Connector/Net MySQL 协议 5.4 网络 需要 不变 6.9.9 及早期版本  
CVE-2017-10203 MySQL Connectors Connector/Net MySQL 协议 5.3 网络 不变 6.9.9 及早期版本  
CVE-2017-10283 MySQL Server 服务器:Performance Schema MySQL 协议 5.3 网络 不变 5.6.37 及早期版本、5.7.19 及早期版本  
CVE-2017-10313 MySQL Server 分组复制 GCS MySQL 协议 4.9 网络 不变 5.7.19 及早期版本  
CVE-2017-10296 MySQL Server 服务器:DML MySQL 协议 4.9 网络 不变 5.7.18 及早期版本  
CVE-2017-10311 MySQL Server 服务器:FTS MySQL 协议 4.9 网络 不变 5.7.19 及早期版本  
CVE-2017-10320 MySQL Server 服务器:InnoDB MySQL 协议 4.9 网络 不变 5.7.19 及早期版本  
CVE-2017-10314 MySQL Server 服务器:Memcached MySQL 协议 4.9 网络 不变 5.6.37 及早期版本、5.7.19 及早期版本  
CVE-2017-10227 MySQL Server 服务器:优化器 MySQL 协议 4.9 网络 不变 5.6.37 及早期版本、5.7.19 及早期版本  
CVE-2017-10279 MySQL Server 服务器:优化器 MySQL 协议 4.9 网络 不变 5.6.36 及早期版本、5.7.18 及早期版本  
CVE-2017-10294 MySQL Server 服务器:优化器 MySQL 协议 4.9 网络 不变 5.6.37 及早期版本、5.7.19 及早期版本  
CVE-2017-10165 MySQL Server 服务器:复制 MySQL 协议 4.9 网络 不变 5.7.19 及早期版本  
CVE-2017-10284 MySQL Server 服务器:存储过程 MySQL 协议 4.9 网络 不变 5.7.18 及早期版本  
CVE-2017-10286 MySQL Server 服务器:InnoDB MySQL 协议 4.4 网络 不变 5.6.37 及早期版本、5.7.19 及早期版本  
CVE-2017-10268 MySQL Server 服务器:复制 MySQL 协议 4.1 本地 不变 5.5.57 及早期版本、5.6.37 及早期版本、5.7.19 及早期版本  
CVE-2017-10365 MySQL Server 服务器:InnoDB MySQL 协议 3.8 网络 不变 5.7.18 及早期版本  
 

下面是解决的其他 CVE:

  • CVE-2017-3731 修复程序还解决了 CVE-2016-7055 和 CVE-2017-3732

 

附录 — Oracle PeopleSoft 产品

Oracle PeopleSoft 产品执行概要

该重要补丁更新包含 23 个针对 Oracle PeopleSoft 产品的新安全修复程序。其中 13 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

Oracle PeopleSoft 产品风险表


漏洞号 产品 组件 协议


无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分
攻击
途径
攻击
复杂性
所需
权限
用户
交互
范围 机密性 完整性 可用性
CVE-2017-10366 PeopleSoft Enterprise PT PeopleTools Performance Monitor HTTP 9.8 网络 不变 8.54、8.55、8.56  
CVE-2017-10338 PeopleSoft Enterprise PRTL Interaction Hub Enterprise Portal HTTP 8.2 网络 需要 改变 9.1.00  
CVE-2017-10354 PeopleSoft Enterprise PRTL Interaction Hub Enterprise Portal HTTP 8.2 网络 需要 改变 9.1.00  
CVE-2017-10364 PeopleSoft Enterprise PeopleTools Updates Environment Mgmt HTTP 8.1 网络 不变 8.54、8.55、8.56  
CVE-2017-10335 PeopleSoft Enterprise PT PeopleTools Elastic Search HTTP 7.5 网络 不变 8.55、8.56  
CVE-2017-10373 PeopleSoft Enterprise PT PeopleTools Health Center HTTP 7.5 网络 不变 8.55、8.56  
CVE-2017-10362 PeopleSoft Enterprise PeopleTools Sawbridge HTTP 7.2 网络 改变 8.54、8.55、8.56  
CVE-2017-10280 PeopleSoft Enterprise PeopleTools Test Framework HTTP 6.5 网络 不变 8.54、8.55、8.56  
CVE-2017-10418 PeopleSoft Enterprise PT PeopleTools PeopleSoft CDA HTTP 6.4 网络 改变 8.56  
CVE-2017-10351 PeopleSoft Enterprise PT PeopleTools Application Server 6.2 本地 不变 8.54、8.55、8.56  
CVE-2017-10158 PeopleSoft Enterprise PeopleTools Core HTTP 6.1 网络 需要 改变 8.54、8.55、8.56  
CVE-2017-10381 PeopleSoft Enterprise PeopleTools PIA Core Technology HTTP 6.1 网络 需要 改变 8.54、8.55、8.56  
CVE-2017-10406 PeopleSoft Enterprise PeopleTools PIA Core Technology HTTP 6.1 网络 需要 改变 8.54、8.55、8.56  
CVE-2017-10327 PeopleSoft Enterprise PeopleTools Query HTTP 6.1 网络 需要 改变 8.54、8.55、8.56  
CVE-2017-10368 PeopleSoft Enterprise SCM eProcurement Talent Acquisition Manager HTTP 6.1 网络 需要 改变 9.1.00、9.2.00  
CVE-2017-10422 PeopleSoft Enterprise PeopleTools Updates Change Assistant HTTP 5.9 网络 不变 8.54  
CVE-2017-10304 PeopleSoft Enterprise HCM 安全 HTTP 5.4 网络 需要 改变 9.2  
CVE-2017-10394 PeopleSoft Enterprise PeopleTools 安全 HTTP 5.4 网络 不变 8.54、8.55、8.56  
CVE-2017-10382 PeopleSoft Enterprise PeopleTools PIA Core Technology HTTP 4.7 网络 需要 改变 8.54、8.55、8.56  
CVE-2017-10306 PeopleSoft Enterprise HCM 安全 HTTP 4.6 网络 需要 不变 9.2  
CVE-2017-10164 PeopleSoft Enterprise FSCM 人才派遣前端办公 HTTP 4.3 网络 不变 9.2  
CVE-2017-10287 PeopleSoft Enterprise FSCM 战略寻源 HTTP 4.3 网络 不变 9.2  
CVE-2017-10426 PeopleSoft Enterprise FSCM 人才派遣前端办公 HTTP 2.7 网络 不变 9.2  
 


 

附录 — Oracle 零售应用

Oracle 零售应用执行概要

该重要补丁更新包含 9 个针对 Oracle 零售应用的新安全修复程序。其中 6 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

Oracle 零售应用风险表


漏洞号 产品 组件 协议


无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分
攻击
途径
攻击
复杂性
所需
权限
用户
交互
范围 机密性 完整性 可用性
CVE-2016-6814 Oracle Retail Convenience and Fuel POS Software OPT 服务器 (Apache Groovy) HTTP 9.6 网络 需要 改变 2.1.132  
CVE-2016-6814 Oracle 零售商店库存管理 SIM 集成 (Apache Groovy) HTTP 9.6 网络 需要 改变 13.2.9、14.0.4、14.1.3、15.0.1、16.0.1  
CVE-2017-10065 Oracle 零售定点服务 安全 HTTP 8.5 网络 改变 6.0.x、6.5.x、7.0.x、7.1.x、15.0.x、16.0.0  
CVE-2017-5664 MICROS 零售 XBRi 防损管理 零售 (Apache Tomcat) HTTP 7.4 网络 不变 10.0.1、10.5.0、10.6.0、10.7.7、10.8.0、10.8.1  
CVE-2016-3506 Oracle Retail Clearance Optimization Engine 安装 Oracle Net 7.4 网络 不变 13.4  
CVE-2016-3506 Oracle零售降价优化 安装 Oracle Net 7.4 网络 不变 13.4、14.0  
CVE-2017-5662 MICROS 零售 XBRi 防损管理 零售 (Apache Batik) HTTP 7.3 网络 需要 不变 10.0.1、10.5.0、10.6.0、10.7.7、10.8.0、10.8.1  
CVE-2017-10427 Oracle 零售终端系统 销售点 HTTP 6.5 网络 改变 6.0.11、6.5.11、7.0.6、7.1.6、15.0.1  
CVE-2017-10423 Oracle 零售后端办公 安全 HTTP 5.4 网络 需要 改变 13.2、13.3、13.4、14.0、14.1  
 

下面是解决的其他 CVE:

  • CVE-2017-5664 修复程序还解决了 CVE-2016-8735

 

附录 — Oracle Siebel CRM

Oracle Siebel CRM 执行概要

该重要补丁更新包含 8 个针对 Oracle Siebel CRM 的新安全修复程序。其中 6 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

Oracle Siebel CRM 风险表


漏洞号 产品 组件 协议


无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分
攻击
途径
攻击
复杂性
所需
权限
用户
交互
范围 机密性 完整性 可用性
CVE-2013-1903 Siebel 应用 — 现场服务 Smart Answer (Python) HTTP 10.0 网络 改变 16.0、17.0  
CVE-2017-10263 Siebel UI Framework UIF Open UI HTTP 8.2 网络 需要 改变 16.0、17.0  
CVE-2017-10333 Siebel UI Framework EAI HTTP 7.4 网络 改变 16.0、17.0  
CVE-2017-10302 Siebel UI Framework UIF Open UI HTTP 6.1 网络 需要 改变 16.0、17.0  
CVE-2017-10315 Siebel UI Framework UIF Open UI HTTP 6.1 网络 需要 改变 16.0、17.0  
CVE-2017-10162 Siebel Core — Server Framework 服务 HTTP 5.4 网络 不变 16.0、17.0  
CVE-2017-10300 Siebel CRM Desktop Siebel 业务服务问题 HTTP 5.3 网络 不变 16.0、17.0  
CVE-2017-10264 Siebel UI Framework UIF Open UI HTTP 5.3 网络 不变 16.0、17.0  
 

下面是解决的其他 CVE:

  • CVE-2013-1903 修复程序还解决了 CVE-2013-0255、CVE-2013-1900、CVE-2013-1902、CVE-2014-0060、CVE-2014-0061、CVE-2014-0062、CVE-2014-0063、CVE-2014-0064、CVE-2014-0065 和 CVE-2014-0066

 

附录 — Oracle Sun 系统产品套件

Oracle Sun 系统产品套件执行概要

该重要补丁更新包含 10 个针对 Oracle Sun 系统产品套件的新安全修复程序。其中 6 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

该 CPU 修复程序还解决了 Oracle Server X7-2、X7-2L、X7-8 中的 CVE-2017-5706 和 CVE-2017-5709。

Oracle Sun 系统产品套件风险表


漏洞号 产品 组件 协议


无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分
攻击
途径
攻击
复杂性
所需
权限
用户
交互
范围 机密性 完整性 可用性
CVE-2016-6304 Fujitsu M10-1、M10-4、M10-4S、M12-1、M12-2、M12-2S 服务器 XCP 固件 TLS 7.5 网络 不变 XCP2340 之前的版本和 XCP3030之前的版本  
CVE-2017-10260 Oracle Integrated Lights Out Manager (ILOM) 系统管理 HTTP 7.5 网络 不变 3.2.6 之前的版本  
CVE-2016-6304 SPARC Enterprise M3000、M4000、M5000、M8000、M9000 服务器 XCP 固件 TLS 7.5 网络 不变 XCP1123 之前的版本  
CVE-2017-10265 Oracle Integrated Lights Out Manager (ILOM) 系统管理 HTTP 7.3 网络 不变 3.2.6 之前的版本  
CVE-2017-3588 Solaris Cluster MySQL 高可用性 7.3 本地 需要 不变 3.3、4.3  
CVE-2016-7431 Fujitsu M10-1、M10-4、M10-4S、M12-1、M12-2、M12-2S 服务器 XCP 固件 NTP 5.3 网络 不变 XCP2340 之前的版本和 XCP3030之前的版本  
CVE-2016-7431 SPARC Enterprise M3000、M4000、M5000、M8000、M9000 服务器 XCP 固件 NTP 5.3 网络 不变 XCP1123 之前的版本  
CVE-2017-10275 Sun ZFS Storage Appliance Kit (AK) 文件系统 5.0 本地 需要 不变 AK 2013  
CVE-2017-10099 基于 SPARC M7、T7、S7 的服务器 固件 4.4 本地 不变 9.7.6.b 之前的版本  
CVE-2017-10194 Oracle Integrated Lights Out Manager (ILOM) 系统管理 HTTP 2.7 网络 不变 3.2.6 之前的版本  
 

下面是解决的其他 CVE:

  • CVE-2016-6304 修复程序还解决了 CVE-2016-2182、CVE-2016-2183、CVE-2016-6302、CVE-2016-6306、CVE-2016-6515 和 CVE-2017-3731
  • CVE-2016-7431 修复程序还解决了 CVE-2016-7429 和 CVE-2016-7433

 

附录 — Oracle Supply Chain 产品套件

Oracle Supply Chain 产品套件执行概要

该重要补丁更新包含 7 个针对 Oracle Supply Chain 产品套件的新安全修复程序。其中 4 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

Oracle Supply Chain 产品套件风险表


漏洞号 产品 组件 协议


无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分
攻击
途径
攻击
复杂性
所需
权限
用户
交互
范围 机密性 完整性 可用性
CVE-2015-7501 Oracle Agile Engineering Data Management 安装 (Apache Commons Collections) HTTP 8.8 网络 不变 6.1.3、6.2.0  
CVE-2016-3092 Oracle Transportation Management 安装 (Apache Commons FileUpload) HTTP 7.5 网络 不变 6.4.1、6.4.2  
CVE-2017-5664 Oracle Transportation Management 安装 (Apache Tomcat) HTTP 7.5 网络 不变 6.3.0、6.3.1、6.3.2、6.3.3、6.3.4、6.3.5、6.3.6、6.3.7  
CVE-2017-3732 Oracle Agile Engineering Data Management 安装 (OpenSSL) HTTPS 5.9 网络 不变 6.1.3、6.2.0  
CVE-2017-10161 Oracle Engineering Data Management Web 服务安全性 HTTP 4.8 网络 不变 6.1.3.0、6.2.2.0  
CVE-2017-10299 Oracle Agile PLM 安全 HTTP 4.3 网络 不变 9.3.5、9.3.6  
CVE-2017-10308 Oracle Agile PLM 性能 3.5 物理 不变 9.3.5、9.3.6  
 

下面是解决的其他 CVE:

  • CVE-2016-3092 修复程序还解决了 CVE-2013-0248 和 CVE-2014-0050
  • CVE-2017-3732 修复程序还解决了 CVE-2016-7055、CVE-2017-3730、CVE-2017-3731 和 CVE-2017-3733
  • CVE-2017-5664 修复程序还解决了 CVE-2016-8735

 

附录 — Oracle 虚拟化

Oracle 虚拟化执行概要

该重要补丁更新包含 6 个针对 Oracle 虚拟化的新安全修复程序。其中 2 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。

Oracle 虚拟化风险表


漏洞号 产品 组件 协议


无需身份验证即可远程利用?
CVSS 3.0 版风险(参阅风险表定义 受影响的支持版本 说明
基本
评分
攻击
途径
攻击
复杂性
所需
权限
用户
交互
范围 机密性 完整性 可用性
CVE-2017-3167 Oracle Secure Global Desktop (SGD) Web 服务器 (Apache HTTP Server) HTTP 7.4 网络 不变 5.3  
CVE-2017-10392 Oracle VM VirtualBox Core 7.3 本地 改变 5.1.30 之前的版本  
CVE-2017-10407 Oracle VM VirtualBox Core 7.3 本地 改变 5.1.30 之前的版本  
CVE-2017-10408 Oracle VM VirtualBox Core 7.3 本地 改变 5.1.30 之前的版本  
CVE-2017-3733 Oracle VM VirtualBox Core (OpenSSL) TLS 5.9 网络 不变 5.1.30 之前的版本  
CVE-2017-10428 Oracle VM VirtualBox Core 5.0 本地 改变 5.1.30 之前的版本  
 

下面是解决的其他 CVE:

  • CVE-2017-3167 修复程序还解决了 CVE-2017-3169、CVE-2017-7668、CVE-2017-7679 和 CVE-2017-9788
  • CVE-2017-3733 修复程序还解决了 CVE-2017-3730、CVE-2017-3731 和 CVE-2017-3732
</