|
附录 — Oracle 数据库服务器
Oracle 数据库服务器执行概要
该重要补丁更新包含以下 12 个针对 Oracle 数据库服务器的新安全修复程序:
- 9 个针对 Oracle 数据库服务器的新安全修复程序。其中 1 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。其中 1 个修复程序适用于仅客户端的安装(即,没有安装 Oracle 数据库服务器的安装)。在此可获取此风险表的英语文本形式。
- 2 个针对 Oracle Secure Backup 的新安全修复程序。这 2 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。
- 1 个针对 Oracle Big Data Graph 的新安全修复程序。此漏洞必需身份验证才可远程利用,即,没有凭证就不能通过网络利用该漏洞。在此可获取此风险表的英语文本形式。
Oracle 数据库服务器风险表
| 漏洞号 |
组件 |
所需的程序包和/或权限 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2016-5555 |
OJVM |
具备 Create Session、Create Procedure 权限 |
多个 |
否 |
9.1 |
网络 |
低 |
高 |
无 |
改变 |
高 |
高 |
高 |
11.2.0.4、12.1.0.2 |
|
| CVE-2016-5572 |
内核 PDB |
具备 Create Session 权限 |
Oracle Net |
否 |
6.4 |
本地 |
高 |
高 |
无 |
不变 |
高 |
高 |
高 |
12.1.0.2 |
|
| CVE-2016-5497 |
RDBMS Security |
具备 Create Session 权限 |
Oracle Net |
否 |
6.4 |
本地 |
高 |
高 |
无 |
不变 |
高 |
高 |
高 |
12.1.0.2 |
|
| CVE-2010-5312 |
Application Express |
无 |
HTTP |
是 |
6.1 |
网络 |
低 |
无 |
需要 |
改变 |
低 |
低 |
无 |
5.0.4.00.07 之前的版本 |
|
| CVE-2016-5516 |
内核 PDB |
具备 DBMS_PDB_EXEC_SQL 上的 Execute 权限 |
Oracle Net |
否 |
6.0 |
本地 |
低 |
高 |
无 |
改变 |
无 |
无 |
高 |
12.1.0.2 |
|
| CVE-2016-5505 |
RDBMS 可编程接口 |
具备 Create Session 权限 |
Oracle Net |
否 |
5.5 |
本地 |
低 |
低 |
无 |
不变 |
高 |
无 |
无 |
11.2.0.4、12.1.0.2 |
|
| CVE-2016-5498 |
RDBMS Security |
具备 Create Session 权限 |
Oracle Net |
否 |
3.3 |
本地 |
低 |
低 |
无 |
不变 |
低 |
无 |
无 |
11.2.0.4、12.1.0.2 |
|
| CVE-2016-5499 |
RDBMS Security |
具备 Create Session 权限 |
Oracle Net |
否 |
3.3 |
本地 |
低 |
低 |
无 |
不变 |
低 |
无 |
无 |
11.2.0.4、12.1.0.2 |
|
| CVE-2016-3562 |
RDBMS Security 和 SQL*Plus |
DBA 级特权账户 |
Oracle Net |
否 |
2.4 |
网络 |
低 |
高 |
需要 |
不变 |
低 |
无 |
无 |
11.2.0.4、12.1.0.2 |
参见注释 1 |
注:
- 修复程序适用于服务器和客户端安装
仅具有 Oracle 数据库服务器客户端的安装
本重要补丁更新中包括的下列 Oracle 数据库服务器漏洞影响仅具有客户端的安装:CVE-2016-3562。
Oracle Secure Backup 执行概要
该重要补丁更新包含 2 个针对 Oracle Secure Backup 的新安全修复程序。这 2 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。
Oracle Secure Backup 风险表
| 漏洞号 |
组件 |
所需的程序包和/或权限 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2015-1351 |
Oracle Secure Backup |
无 |
多个 |
是 |
5.8 |
网络 |
低 |
无 |
无 |
改变 |
无 |
无 |
低 |
12.1.0.2.0 之前的版本 |
|
| CVE-2015-0286 |
Oracle Secure Backup |
无 |
SSL |
是 |
5.8 |
网络 |
低 |
无 |
无 |
改变 |
无 |
无 |
低 |
10.4.0.4.0 之前的版本 |
|
Oracle Big Data Graph 执行概要
该重要补丁更新包含 1 个针对 Oracle Big Data Graph 的新安全修复程序。此漏洞必需身份验证才可远程利用,即,没有用户凭证就不能通过网络利用该漏洞。在此可获取此风险表的英语文本形式。
Oracle Big Data Graph 风险表
| 漏洞号 |
组件 |
子组件 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2015-7501 |
Big Data Graph |
Apache Commons Collections |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
1.2 之前的版本 |
|
附录 — Oracle 融合中间件
Oracle 融合中间件执行概要
该重要补丁更新包含 29 个针对 Oracle 融合中间件的新安全修复程序。其中 19 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。
Oracle 融合中间件产品包括受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库组件。Oracle 融合中间件产品暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库安全修复程序未列在 Oracle 融合中间件风险表中。然而,由于影响 Oracle 数据库版本的漏洞可能影响 Oracle 融合中间件产品,Oracle 建议客户将 2016 年 10 月的重要补丁更新应用于 Oracle 融合中间件产品的 Oracle 数据库组件。有关您的环境需要应用哪些补丁的信息,请参阅 2016 年 10 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 2171485.1。
Oracle 融合中间件风险表
| 漏洞号 |
组件 |
子组件 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2015-3253 |
Oracle Big Data Discovery |
数据处理 |
HTTP |
是 |
9.8 |
网络 |
低 |
无 |
无 |
不变 |
高 |
高 |
高 |
1.1.1、1.1.3、1.2.0 |
|
| CVE-2016-3551 |
Oracle Web Services |
JAXWS Web Services Stack |
HTTP |
是 |
9.8 |
网络 |
低 |
无 |
无 |
不变 |
高 |
高 |
高 |
11.1.1.7.0、11.1.1.9.0、12.1.3.0.0、12.2.1.0.0 |
|
| CVE-2015-7501 |
Oracle WebLogic Server |
无 |
HTTP |
是 |
9.8 |
网络 |
低 |
无 |
无 |
不变 |
高 |
高 |
高 |
10.3.6.0、12.1.3.0、12.2.1.0 |
|
| CVE-2016-5535 |
Oracle WebLogic Server |
无 |
HTTP |
是 |
9.8 |
网络 |
低 |
无 |
无 |
不变 |
高 |
高 |
高 |
10.3.6.0、12.1.3.0、12.2.1.0、12.2.1.1 |
|
| CVE-2016-5531 |
Oracle WebLogic Server |
WLS-WebServices |
HTTP |
是 |
9.8 |
网络 |
低 |
无 |
无 |
不变 |
高 |
高 |
高 |
10.3.6.0、12.1.3.0、12.2.1.0 |
|
| CVE-2016-1950 |
Oracle GlassFish Server |
安全性 |
HTTPS |
是 |
8.8 |
网络 |
低 |
无 |
需要 |
不变 |
高 |
高 |
高 |
2.1.1 |
|
| CVE-2016-5519 |
Oracle GlassFish Server |
Java Server Faces |
多个 |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
2.1.1、3.0.1、3.1.2 |
|
| CVE-2016-3505 |
Oracle WebLogic Server |
JavaServer Faces |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
10.3.6.0、12.1.3.0、12.2.1.0 |
|
| CVE-2016-1950 |
Oracle iPlanet Web Proxy Server |
安全性 |
HTTPS |
是 |
8.8 |
网络 |
低 |
无 |
需要 |
不变 |
高 |
高 |
高 |
4.0 |
|
| CVE-2016-1950 |
Oracle iPlanet Web Server |
安全性 |
HTTPS |
是 |
8.8 |
网络 |
低 |
无 |
需要 |
不变 |
高 |
高 |
高 |
7.0 |
|
| CVE-2016-5558 |
Oracle Outside In Technology |
Outside In Filter |
HTTP |
是 |
8.6 |
网络 |
低 |
无 |
无 |
不变 |
高 |
低 |
低 |
8.4.0、8.5.1、8.5.2、8.5.3 |
参见注释 1 |
| CVE-2016-5574 |
Oracle Outside In Technology |
Outside In Filter |
HTTP |
是 |
8.6 |
网络 |
低 |
无 |
无 |
不变 |
高 |
低 |
低 |
8.4.0、8.5.1、8.5.2、8.5.3 |
参见注释 1 |
| CVE-2016-5577 |
Oracle Outside In Technology |
Outside In Filter |
HTTP |
是 |
8.6 |
网络 |
低 |
无 |
无 |
不变 |
高 |
低 |
低 |
8.4.0、8.5.1、8.5.2、8.5.3 |
参见注释 1 |
| CVE-2016-5578 |
Oracle Outside In Technology |
Outside In Filter |
HTTP |
是 |
8.6 |
网络 |
低 |
无 |
无 |
不变 |
高 |
低 |
低 |
8.4.0、8.5.1、8.5.2、8.5.3 |
参见注释 1 |
| CVE-2016-5579 |
Oracle Outside In Technology |
Outside In Filter |
HTTP |
是 |
8.6 |
网络 |
低 |
无 |
无 |
不变 |
高 |
低 |
低 |
8.4.0、8.5.1、8.5.2、8.5.3 |
参见注释 1 |
| CVE-2016-5588 |
Oracle Outside In Technology |
Outside In Filter |
HTTP |
是 |
8.6 |
网络 |
低 |
无 |
无 |
不变 |
高 |
低 |
低 |
8.4.0、8.5.1、8.5.2、8.5.3 |
参见注释 1 |
| CVE-2016-3473 |
BI Publisher(以前为 XML Publisher) |
安全性 |
HTTP |
否 |
7.7 |
网络 |
低 |
低 |
无 |
改变 |
高 |
无 |
无 |
11.1.1.7.0、11.1.1.9.0、12.2.1.0.0 |
|
| CVE-2016-8281 |
Oracle Platform Security for Java |
审计报告 |
HTTP |
否 |
7.6 |
网络 |
低 |
低 |
无 |
不变 |
高 |
低 |
低 |
12.1.3.0.0、12.2.1.0.0、12.2.1.1.0 |
|
| CVE-2016-5536 |
Oracle Platform Security for Java |
审计模式 |
HTTP |
否 |
7.6 |
网络 |
低 |
低 |
无 |
不变 |
高 |
低 |
低 |
12.1.3.0.0、12.2.1.0.0、12.2.1.1.0 |
|
| CVE-2016-5495 |
Oracle Discoverer |
EUL 代码和模式 |
HTTP |
是 |
7.5 |
网络 |
低 |
无 |
无 |
不变 |
高 |
无 |
无 |
11.1.1.7.0 |
|
| CVE-2016-5500 |
Oracle Discoverer |
查看器 |
HTTP |
是 |
7.5 |
网络 |
低 |
无 |
无 |
不变 |
高 |
无 |
无 |
11.1.1.7.0 |
|
| CVE-2016-5601 |
Oracle WebLogic Server |
CIE 相关组件 |
HTTP |
否 |
6.3 |
本地 |
低 |
高 |
需要 |
改变 |
低 |
高 |
无 |
12.1.3.0、12.2.1.0、12.2.1.1 |
|
| CVE-2016-2107 |
Oracle Business Intelligence 企业版 |
安装 |
HTTPS |
是 |
5.9 |
网络 |
高 |
无 |
无 |
不变 |
高 |
无 |
无 |
11.1.1.7.0、11.1.1.9.0、12.1.1.0.0、12.2.1.1.0 |
|
| CVE-2016-5537 |
NetBeans |
项目导入 |
HTTP |
否 |
5.7 |
本地 |
低 |
高 |
无 |
改变 |
低 |
低 |
低 |
8.1 |
|
| CVE-2016-5602 |
Oracle Data Integrator |
代码生成引擎 |
HTTP |
否 |
5.7 |
网络 |
低 |
低 |
需要 |
不变 |
高 |
无 |
无 |
11.1.1.7.0、11.1.1.9.0、12.1.3.0.0、12.2.1.0.0、12.2.1.1.0 |
参见注释 2 |
| CVE-2016-5488 |
Oracle WebLogic Server |
Web 容器 |
HTTP |
是 |
5.3 |
网络 |
低 |
无 |
无 |
不变 |
无 |
无 |
低 |
10.3.6.0、12.1.3.0 |
|
| CVE-2016-5511 |
Oracle WebCenter Sites |
安全性 |
HTTP |
是 |
4.3 |
网络 |
低 |
无 |
需要 |
不变 |
无 |
低 |
无 |
12.2.1.0.0、12.2.1.1.0、12.2.1.2.0 |
参见注释 3 |
| CVE-2016-5618 |
Oracle Data Integrator |
代码生成引擎 |
HTTP |
否 |
3.1 |
网络 |
高 |
低 |
无 |
不变 |
低 |
无 |
无 |
11.1.1.7.0、11.1.1.9.0、12.1.2.0.0、12.1.3.0.0、12.2.1.0.0、12.2.1.1.0 |
参见注释 4 |
| CVE-2016-5506 |
OracleIdentityManager |
应用服务器 |
XML |
否 |
3.1 |
本地 |
低 |
高 |
需要 |
不变 |
低 |
低 |
无 |
- |
参见注释 5 |
注:
- Outside In Technology 是一个软件开发工具包 (SDK) 套件。协议和 CVSS 评分取决于使用 Outside In Technology 代码的软件。CVSS 评分假定该软件将通过网络收到的数据直接传递给 Outside In Technology 代码,但如果数据不是通过网络收到的,CVSS 评分可能更低。
- 有关如何解决这个问题的说明,请参阅 My Oracle Support 说明 2188855.1。
- 有关如何解决这个问题的说明,请参阅 My Oracle Support 说明 2188873.1。
- 有关如何解决这个问题的说明,请参阅 My Oracle Support 说明 2188871.1。
- 在所有支持的版本和补丁集中得到修复。
解决的其他 CVE:
- CVE-2016-2107 修复程序还解决了 CVE-2015-3197。
附录 — Oracle Enterprise Manager Grid Control
Oracle Enterprise Manager Grid Control 执行概要
该重要补丁更新包含 5 个针对 Oracle Enterprise Manager Grid Control 的新安全修复程序。其中 4 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。所有这些修复程序都不适用于仅客户端的安装(即,没有安装 Oracle Enterprise Manager Grid Control 的安装)。在此可获取此风险表的英语文本形式。
Oracle Enterprise Manager 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库和 Oracle 融合中间件部分中所列漏洞的影响。Oracle Enterprise Manager 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle Enterprise Manager 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle Enterprise Manager 产品,Oracle 建议客户将 2016 年 10 月的重要补丁更新应用于 Enterprise Manager 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 2016 年 10 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 2171485.1。
Oracle Enterprise Manager Grid Control 风险表
| 漏洞号 |
组件 |
子组件 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2016-2107 |
Enterprise Manager |
Ops Center |
HTTPS |
是 |
8.2 |
网络 |
低 |
无 |
无 |
不变 |
低 |
无 |
高 |
12.1.4、12.2.2、12.3.2 |
|
| CVE-2016-4979 |
Enterprise Manager |
Ops Center |
HTTP |
是 |
7.5 |
网络 |
低 |
无 |
无 |
不变 |
无 |
高 |
无 |
12.1.4、12.2.2、12.3.2 |
|
| CVE-2015-7940 |
Enterprise Manager |
Ops Center |
HTTPS |
是 |
7.5 |
网络 |
低 |
无 |
无 |
不变 |
高 |
无 |
无 |
12.1.4、12.2.2 |
|
| CVE-2015-7940 |
Oracle Application Testing Suite |
Load Testing for Web Apps |
HTTPS |
是 |
7.5 |
网络 |
低 |
无 |
无 |
不变 |
高 |
无 |
无 |
12.5.0.1、12.5.0.2、12.5.0.3 |
|
| CVE-2016-5604 |
Enterprise Manager Base Platform |
安全框架 |
无 |
否 |
6.3 |
本地 |
低 |
高 |
需要 |
改变 |
低 |
高 |
无 |
12.1.0.5 |
|
解决的其他 CVE:
- CVE-2016-2107 修复程序还解决了 CVE-2016-2105、CVE-2016-2106、CVE-2016-2109 和 CVE-2099-1234。
- CVE-2016-4979 修复程序还解决了 CVE-2016-1546。
附录 — Oracle 应用
Oracle E-Business Suite 执行概要
该重要补丁更新包含 21 个针对 Oracle E-Business Suite 的新安全修复程序。其中 14 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。
Oracle E-Business Suite 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库和 Oracle 融合中间件部分中所列漏洞的影响。Oracle E-Business Suite 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle E-Business Suite 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle E-Business Suite 产品,Oracle 建议客户将 2016 年 10 月的重要补丁更新应用于 Oracle E-Business Suite 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 Oracle E-Business Suite 12 版重要补丁更新知识文档(2016 年 10 月)My Oracle Support 说明 2181748.1。
Oracle E-Business Suite 风险表
| 漏洞号 |
组件 |
子组件 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2016-5557 |
Oracle Advanced Pricing |
价目表 |
HTTP |
是 |
8.2 |
网络 |
低 |
无 |
需要 |
改变 |
高 |
低 |
无 |
12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6 |
|
| CVE-2016-5589 |
Oracle CRM Technical Foundation |
责任管理 |
HTTP |
是 |
8.2 |
网络 |
低 |
无 |
无 |
不变 |
低 |
高 |
无 |
12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6 |
|
| CVE-2016-5587 |
Oracle Customer Interaction History |
Outcome-Result |
HTTP |
是 |
8.2 |
网络 |
低 |
无 |
无 |
不变 |
低 |
高 |
无 |
12.1.1、12.1.2、12.1.3、12.2.3、12.2.4 |
|
| CVE-2016-5591 |
Oracle Customer Interaction History |
Outcome-Result |
HTTP |
是 |
8.2 |
网络 |
低 |
无 |
无 |
不变 |
低 |
高 |
无 |
12.1.1、12.1.2、12.1.3、12.2.3、12.2.4 |
|
| CVE-2016-5593 |
Oracle Customer Interaction History |
Outcome-Result |
HTTP |
是 |
8.2 |
网络 |
低 |
无 |
无 |
不变 |
低 |
高 |
无 |
12.1.1、12.1.2、12.1.3、12.2.3、12.2.4 |
|
| CVE-2016-5592 |
Oracle Customer Interaction History |
Result-Reason |
HTTP |
是 |
8.2 |
网络 |
低 |
无 |
无 |
不变 |
低 |
高 |
无 |
12.1.1、12.1.2、12.1.3、12.2.3、12.2.4 |
|
| CVE-2016-5595 |
Oracle Customer Interaction History |
Result-Reason |
HTTP |
是 |
8.2 |
网络 |
低 |
无 |
无 |
不变 |
低 |
高 |
无 |
12.1.1、12.1.2、12.1.3、12.2.3、12.2.4 |
|
| CVE-2016-5586 |
Oracle Email Center |
Dispatch/Service Call Requests |
HTTP |
是 |
8.2 |
网络 |
低 |
无 |
无 |
不变 |
低 |
高 |
无 |
12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6 |
|
| CVE-2016-2176 |
Oracle HTTP Server |
OpenSSL |
HTTP |
是 |
8.2 |
网络 |
低 |
无 |
无 |
不变 |
低 |
无 |
高 |
12.1.3 |
|
| CVE-2016-5489 |
Oracle iStore |
运行时目录 |
HTTP |
是 |
8.2 |
网络 |
低 |
无 |
需要 |
改变 |
高 |
低 |
无 |
12.1.1、12.1.2、12.1.3、12.2.3、12.2.4 |
|
| CVE-2016-5562 |
Oracle iProcurement |
采购申请管理 |
HTTP |
否 |
7.6 |
网络 |
低 |
低 |
需要 |
改变 |
高 |
低 |
无 |
12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6 |
|
| CVE-2016-5581 |
Oracle iRecruitment |
应聘者自助服务 |
无 |
否 |
6.6 |
物理 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6 |
|
| CVE-2016-5567 |
Oracle Applications DBA |
AD 实用程序 |
HTTP |
否 |
6.5 |
网络 |
低 |
高 |
无 |
不变 |
高 |
高 |
无 |
12.1.3、12.2.3、12.2.4、12.2.5、12.2.6 |
|
| CVE-2016-5570 |
Oracle Applications DBA |
AD 实用程序 |
HTTP |
否 |
6.5 |
网络 |
低 |
高 |
无 |
不变 |
高 |
高 |
无 |
12.2.3、12.2.4、12.2.5、12.2.6 |
|
| CVE-2016-5571 |
Oracle Applications DBA |
AD 实用程序 |
HTTP |
否 |
6.5 |
网络 |
低 |
高 |
无 |
不变 |
高 |
高 |
无 |
12.1.3、12.2.3、12.2.4、12.2.5、12.2.6 |
|
| CVE-2016-5585 |
Oracle Interaction Center Intelligence |
选择应用依赖项 |
HTTP |
是 |
6.5 |
网络 |
低 |
无 |
无 |
不变 |
低 |
低 |
无 |
12.1.1、12.1.2、12.1.3 |
|
| CVE-2016-5517 |
Oracle Applications DBA |
AD 实用程序 |
无 |
否 |
5.5 |
本地 |
低 |
低 |
无 |
不变 |
高 |
无 |
无 |
12.1.3 |
|
| CVE-2016-5575 |
Oracle Common Applications Calendar |
资源模块 |
HTTP |
是 |
5.3 |
网络 |
低 |
无 |
无 |
不变 |
低 |
无 |
无 |
12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6 |
|
| CVE-2016-5583 |
Oracle One-to-One Fulfillment |
文件上载 |
HTTP |
是 |
5.3 |
网络 |
低 |
无 |
无 |
不变 |
无 |
低 |
无 |
12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6 |
|
| CVE-2016-5532 |
Oracle Shipping Execution |
工作流事件 |
HTTP |
是 |
5.3 |
网络 |
低 |
无 |
无 |
不变 |
低 |
无 |
无 |
12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6 |
|
| CVE-2016-5596 |
Oracle CRM Technical Foundation |
默认职责 |
HTTP |
否 |
4.3 |
网络 |
低 |
低 |
无 |
不变 |
低 |
无 |
无 |
12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6 |
|
解决的其他 CVE:
- CVE-2016-2176 修复程序还解决了 CVE-2016-2105、CVE-2016-2106、CVE-2016-2107 和 CVE-2016-2109。
Oracle Supply Chain 产品套件执行概要
该重要补丁更新包含 19 个针对 Oracle Supply Chain 产品套件的新安全修复程序。其中 9 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。
Oracle Supply Chain 产品套件风险表
| 漏洞号 |
组件 |
子组件 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2016-5599 |
Oracle Advanced Supply Chain Planning |
MscObieeSrvlt |
HTTP |
是 |
9.1 |
网络 |
低 |
无 |
无 |
不变 |
高 |
高 |
无 |
12.2.3、12.2.4、12.2.5 |
|
| CVE-2015-7501 |
Oracle Agile PLM |
Apache Commons Collections |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
9.3.4、9.3.5 |
|
| CVE-2016-5523 |
Oracle Agile PLM |
AutoVue Java 小程序 |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
9.3.4、9.3.5 |
|
| CVE-2015-3253 |
Oracle Agile PLM |
事件 Java PX |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
9.3.4、9.3.5 |
|
| CVE-2016-5514 |
Oracle Agile PLM |
ExportServlet |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
9.3.4、9.3.5 |
|
| CVE-2016-5515 |
Oracle Agile PLM |
RMIServlet |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
9.3.4、9.3.5 |
|
| CVE-2016-0635 |
Oracle Agile PLM |
Spring |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
9.3.4、9.3.5 |
|
| CVE-2016-0714 |
Oracle Transportation Management |
安装 |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
6.1、6.2、6.3.0、6.3.1、6.3.2、6.3.3、6.3.4、6.3.5、6.3.6、6.3.7 |
|
| CVE-2016-2107 |
Oracle Transportation Management |
安装 |
HTTP |
是 |
8.2 |
网络 |
低 |
无 |
无 |
不变 |
低 |
无 |
高 |
6.1、6.2 |
|
| CVE-2016-5518 |
Oracle Agile Engineering Data Management |
webfileservices |
HTTP |
是 |
8.1 |
网络 |
高 |
无 |
无 |
不变 |
高 |
高 |
高 |
6.1.3.0、6.2.0.0 |
|
| CVE-2016-5526 |
Oracle Agile PLM |
Apache Tomcat |
HTTP |
是 |
7.3 |
网络 |
低 |
无 |
无 |
不变 |
低 |
低 |
低 |
9.3.4、9.3.5 |
|
| CVE-2016-5521 |
Oracle Agile PLM |
安全性 |
HTTP |
是 |
6.5 |
网络 |
低 |
无 |
无 |
不变 |
低 |
低 |
无 |
9.3.4、9.3.5 |
|
| CVE-2016-5512 |
Oracle Agile PLM |
安全性 |
HTTP |
是 |
6.1 |
网络 |
低 |
无 |
需要 |
改变 |
低 |
低 |
无 |
9.3.4、9.3.5 |
|
| CVE-2016-5527 |
Oracle Agile PLM |
安全性 |
HTTP |
是 |
5.9 |
网络 |
高 |
无 |
无 |
不变 |
高 |
无 |
无 |
9.3.4、9.3.5 |
|
| CVE-2016-5510 |
Oracle Agile PLM |
文件夹、文件和附件 |
HTTP |
是 |
5.3 |
网络 |
低 |
无 |
无 |
不变 |
低 |
无 |
无 |
9.3.4、9.3.5 |
|
| CVE-2016-5524 |
Oracle Agile PLM |
安全性 |
HTTP |
是 |
5.3 |
网络 |
低 |
无 |
无 |
不变 |
低 |
无 |
无 |
9.3.4、9.3.5 |
|
| CVE-2016-5513 |
Oracle Agile PLM |
File Manager |
HTTP |
否 |
4.3 |
网络 |
低 |
低 |
无 |
不变 |
低 |
无 |
无 |
9.3.4、9.3.5 |
|
| CVE-2016-5522 |
Oracle Agile PLM |
安全性 |
HTTP |
否 |
4.3 |
网络 |
低 |
低 |
无 |
不变 |
低 |
无 |
无 |
9.3.4、9.3.5 |
|
| CVE-2016-5504 |
Oracle Agile Product Lifecycle Management for Process |
供应商门户 |
HTTP |
否 |
4.1 |
本地 |
高 |
高 |
无 |
不变 |
高 |
无 |
无 |
6.1.0.4、6.1.1.6、6.2.0.0 |
|
解决的其他 CVE:
- CVE-2016-0714 修复程序还解决了 CVE-2015-5351、CVE-2016-0706 和 CVE-2016-0763。
- CVE-2016-2107 修复程序还解决了 CVE-2016-2105、CVE-2016-2106、CVE-2016-2109 和 CVE-2016-2176。
Oracle PeopleSoft 产品执行概要
该重要补丁更新包含 11 个针对 Oracle PeopleSoft 产品的新安全修复程序。其中 5 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。
Oracle PeopleSoft 产品风险表
| 漏洞号 |
组件 |
子组件 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2016-8293 |
PeopleSoft Enterprise PeopleTools |
集成代理 |
HTTP |
是 |
8.2 |
网络 |
低 |
无 |
需要 |
改变 |
高 |
低 |
无 |
8.54、8.55 |
|
| CVE-2016-8291 |
PeopleSoft Enterprise PeopleTools |
移动应用平台 |
HTTP |
是 |
8.2 |
网络 |
低 |
无 |
需要 |
改变 |
高 |
低 |
无 |
8.54、8.55 |
|
| CVE-2016-8296 |
PeopleSoft Enterprise PeopleTools |
LDAP |
HTTP |
否 |
7.6 |
网络 |
低 |
低 |
需要 |
改变 |
高 |
低 |
无 |
8.54、8.55 |
|
| CVE-2015-7940 |
PeopleSoft Enterprise PeopleTools |
Bouncy Castle Java |
HTTP |
是 |
7.5 |
网络 |
低 |
无 |
无 |
不变 |
高 |
无 |
无 |
8.54、8.55 |
|
| CVE-2016-5529 |
PeopleSoft Enterprise PeopleTools |
集成代理 |
HTTP |
是 |
6.1 |
网络 |
低 |
无 |
需要 |
改变 |
低 |
低 |
无 |
8.54、8.55 |
|
| CVE-2016-5530 |
PeopleSoft Enterprise PeopleTools |
集成代理 |
HTTP |
是 |
6.1 |
网络 |
低 |
无 |
需要 |
改变 |
低 |
低 |
无 |
8.54、8.55 |
|
| CVE-2016-5600 |
PeopleSoft Enterprise SCM Services Procurement |
安全性 |
HTTP |
否 |
5.4 |
网络 |
低 |
低 |
无 |
不变 |
低 |
低 |
无 |
9.1、9.2 |
|
| CVE-2016-8285 |
PeopleSoft Enterprise HCM |
候选人网关 |
HTTP |
否 |
4.8 |
网络 |
高 |
高 |
需要 |
不变 |
高 |
低 |
无 |
9.2 |
|
| CVE-2016-8295 |
PeopleSoft Enterprise HCM |
日程安排 |
HTTP |
否 |
4.3 |
网络 |
低 |
低 |
无 |
不变 |
低 |
无 |
无 |
9.2 |
|
| CVE-2016-8294 |
PeopleSoft Enterprise PeopleTools |
查询 |
HTTP |
否 |
4.3 |
网络 |
低 |
低 |
无 |
不变 |
低 |
无 |
无 |
8.54、8.55 |
|
| CVE-2016-8292 |
PeopleSoft Enterprise HCM |
Talent Acquisition Manager |
HTTP |
否 |
4.2 |
网络 |
高 |
低 |
无 |
不变 |
低 |
低 |
无 |
9.2 |
|
Oracle JD Edwards 产品执行概要
该重要补丁更新包含 2 个针对 Oracle JD Edwards 产品的新安全修复程序。这 2 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。
Oracle JD Edwards 产品风险表
| 漏洞号 |
组件 |
子组件 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2016-1181 |
JD Edwards EnterpriseOne Tools |
Web 运行时 SEC |
HTTP |
是 |
8.1 |
网络 |
高 |
无 |
无 |
不变 |
高 |
高 |
高 |
9.1 |
|
| CVE-2015-1793 |
JD Edwards World Security |
GUI / World Vision |
HTTPS |
是 |
6.5 |
网络 |
低 |
无 |
无 |
不变 |
低 |
低 |
无 |
A9.4 |
|
解决的其他 CVE:
- CVE-2016-1181 修复程序还解决了 CVE-2016-1182。
Oracle Siebel CRM 执行概要
该重要补丁更新包含 3 个针对 Oracle Siebel CRM 的新安全修复程序。其中 1 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。
Oracle Siebel CRM 风险表
| 漏洞号 |
组件 |
子组件 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2016-3081 |
Siebel 应用产品 — E-Billing |
安全性 |
HTTP |
是 |
8.1 |
网络 |
高 |
无 |
无 |
不变 |
高 |
高 |
高 |
7.1 |
|
| CVE-2016-5534 |
Siebel 应用 — 客户订单管理 |
可定制产品/配置器 |
HTTP |
否 |
6.5 |
网络 |
低 |
低 |
无 |
不变 |
高 |
无 |
无 |
16.1 |
|
| CVE-2016-5560 |
Siebel UI Framework |
OpenUI |
HTTP |
否 |
5.4 |
网络 |
低 |
低 |
无 |
不变 |
低 |
低 |
无 |
16.1 |
|
Oracle 商务解决方案执行概要
该重要补丁更新包含 7 个针对 Oracle 商务解决方案的新安全修复程序。其中 4 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。
Oracle 商务解决方案风险表
| 漏洞号 |
组件 |
子组件 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2015-3253 |
Oracle Commerce Platform |
Dynamo Application Framework |
HTTP |
是 |
9.8 |
网络 |
低 |
无 |
无 |
不变 |
高 |
高 |
高 |
10.0.3.5、10.2.0.5、11.2.0.1 |
|
| CVE-2015-7501 |
Oracle Commerce Guided Search / Oracle Commerce Experience Manager |
Content Acquisition System |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
3.1.1、3.1.2、11.0、11.1、11.2 |
|
| CVE-2016-0635 |
Oracle Commerce Guided Search / Oracle Commerce Experience Manager |
Content Acquisition System |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
3.1.1、3.1.2、11.0、11.1、11.2 |
|
| CVE-2016-0635 |
Oracle Commerce Guided Search / Oracle Commerce Experience Manager |
工具和框架 |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
3.1.1、3.1.2、11.0、11.1、11.2 |
|
| CVE-2016-5482 |
Oracle Commerce Guided Search |
Oracle Commerce Guided Search |
HTTP |
是 |
8.2 |
网络 |
低 |
无 |
需要 |
改变 |
高 |
低 |
无 |
6.2.2、6.3.0、6.4.1.2、6.5.0、6.5.1、6.5.2 |
|
| CVE-2016-2107 |
Oracle Commerce Guided Search / Oracle Commerce Experience Manager |
MDEX |
HTTPS |
是 |
8.2 |
网络 |
低 |
无 |
无 |
不变 |
低 |
无 |
高 |
6.2.2、6.3.0、6.4.1.2、6.5.0、6.5.1、6.5.2 |
|
| CVE-2016-5491 |
Oracle Commerce Service Center |
Commerce Service Center |
HTTP |
是 |
8.2 |
网络 |
低 |
无 |
需要 |
改变 |
高 |
低 |
无 |
10.0.3.5、10.2.0.5 |
|
解决的其他 CVE:
- CVE-2016-2107 修复程序还解决了 CVE-2016-2105、CVE-2016-2106、CVE-2016-2109 和 CVE-2016-2176。
附录 — Oracle 通信应用
Oracle 通信应用执行概要
该重要补丁更新包含 36 个针对 Oracle 通信应用的新安全修复程序。其中 31 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。
Oracle 通信应用风险表
| 漏洞号 |
组件 |
子组件 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2016-2107 |
Oracle Enterprise Session Border Controller |
OpenSSL |
SSL |
是 |
8.2 |
网络 |
低 |
无 |
无 |
不变 |
低 |
无 |
高 |
Ecz7.3m2p2 及早期版本 |
|
| CVE-2015-0235 |
Oracle Communications Policy Management |
Glibc |
多个 |
是 |
7.3 |
网络 |
低 |
无 |
无 |
不变 |
低 |
低 |
低 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2015-0411 |
Oracle Communications Policy Management |
MySQL |
多个 |
是 |
7.3 |
网络 |
低 |
无 |
无 |
不变 |
低 |
低 |
低 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2014-0050 |
Oracle Communications Policy Management |
Tomcat |
多个 |
是 |
7.3 |
网络 |
低 |
无 |
无 |
不变 |
低 |
低 |
低 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2014-0224 |
Oracle Communications Policy Management |
OpenSSL |
SSL |
是 |
7.3 |
网络 |
低 |
无 |
无 |
不变 |
低 |
低 |
低 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2015-0286 |
Oracle Communications Policy Management |
OpenSSL |
SSL |
是 |
7.3 |
网络 |
低 |
无 |
无 |
不变 |
低 |
低 |
低 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2013-2067 |
Oracle Communications Policy Management |
Tomcat |
多个 |
是 |
6.5 |
网络 |
低 |
无 |
无 |
不变 |
无 |
低 |
低 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2014-0227 |
Oracle Communications Policy Management |
Tomcat |
多个 |
是 |
6.5 |
网络 |
低 |
无 |
无 |
不变 |
无 |
低 |
低 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2013-2566 |
Oracle Enterprise Session Border Controller |
OpenSSH |
SSH |
是 |
5.9 |
网络 |
高 |
无 |
无 |
不变 |
高 |
无 |
无 |
Ecz7.3m2p2 及早期版本 |
|
| CVE-2015-3197 |
Oracle Enterprise Session Border Controller |
OpenSSL |
SSL |
是 |
5.9 |
网络 |
高 |
无 |
无 |
不变 |
高 |
无 |
无 |
Ecz7.3m2p2 及早期版本 |
|
| CVE-2013-4444 |
Oracle Communications Policy Management |
Tomcat |
多个 |
是 |
5.6 |
网络 |
高 |
无 |
无 |
不变 |
低 |
低 |
低 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2013-2067 |
Oracle Communications Policy Management |
Tomcat |
多个 |
是 |
5.6 |
网络 |
高 |
无 |
无 |
不变 |
低 |
低 |
低 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2014-0224 |
Oracle Enterprise Communications Broker |
OpenSSL |
SSL |
是 |
5.6 |
网络 |
高 |
无 |
无 |
不变 |
低 |
低 |
低 |
Pcz2.0.0m4p5 及早期版本 |
|
| CVE-2014-0224 |
Oracle Enterprise Session Border Controller |
OpenSSL |
SSL |
是 |
5.6 |
网络 |
高 |
无 |
无 |
不变 |
低 |
低 |
低 |
Ecz7.3m2p2 及早期版本 |
|
| CVE-2015-1791 |
Oracle Enterprise Session Border Controller |
OpenSSL |
SSL |
是 |
5.6 |
网络 |
高 |
无 |
无 |
不变 |
低 |
低 |
低 |
Ecz7.3m2p2 及早期版本 |
|
| CVE-2015-2568 |
Oracle Communications Policy Management |
MySQL |
多个 |
是 |
5.3 |
网络 |
低 |
无 |
无 |
不变 |
无 |
无 |
低 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2014-0096 |
Oracle Communications Policy Management |
Tomcat |
多个 |
是 |
5.3 |
网络 |
低 |
无 |
无 |
不变 |
低 |
无 |
无 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2013-4590 |
Oracle Communications Policy Management |
Tomcat |
多个 |
是 |
5.3 |
网络 |
低 |
无 |
无 |
不变 |
低 |
无 |
无 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2014-0099 |
Oracle Communications Policy Management |
Tomcat |
多个 |
是 |
5.3 |
网络 |
低 |
无 |
无 |
不变 |
无 |
低 |
无 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2014-0075 |
Oracle Communications Policy Management |
Tomcat |
多个 |
是 |
5.3 |
网络 |
低 |
无 |
无 |
不变 |
无 |
无 |
低 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2014-0119 |
Oracle Communications Policy Management |
Tomcat |
多个 |
是 |
5.3 |
网络 |
低 |
无 |
无 |
不变 |
低 |
无 |
无 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2013-4322 |
Oracle Communications Policy Management |
Tomcat |
多个 |
是 |
5.3 |
网络 |
低 |
无 |
无 |
不变 |
无 |
无 |
低 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2014-9296 |
Oracle Communications Policy Management |
NTP |
NTP |
是 |
5.3 |
网络 |
低 |
无 |
无 |
不变 |
无 |
无 |
低 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2014-3571 |
Oracle Communications Policy Management |
OpenSSL |
SSL |
是 |
5.3 |
网络 |
低 |
无 |
无 |
不变 |
无 |
低 |
无 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2014-3571 |
Oracle Enterprise Communications Broker |
OpenSSL |
SSL |
是 |
5.3 |
网络 |
低 |
无 |
无 |
不变 |
无 |
无 |
低 |
Pcz2.0.0m4p5 及早期版本 |
|
| CVE-2014-3571 |
Oracle Enterprise Session Border Controller |
OpenSSL |
SSL |
是 |
5.3 |
网络 |
低 |
无 |
无 |
不变 |
无 |
无 |
低 |
Ecz7.3m2p2 及早期版本 |
|
| CVE-2015-0286 |
Oracle Enterprise Session Border Controller |
OpenSSL |
SSL |
是 |
5.3 |
网络 |
低 |
无 |
无 |
不变 |
无 |
无 |
低 |
Ecz7.3m2p2 及早期版本 |
|
| CVE-2015-3195 |
Oracle Enterprise Session Border Controller |
OpenSSL |
SSL |
是 |
5.3 |
网络 |
低 |
无 |
无 |
不变 |
无 |
无 |
低 |
Ecz7.3m2p2 及早期版本 |
|
| CVE-2014-2532 |
Oracle Communications Policy Management |
OpenSSH |
SSH |
否 |
4.9 |
网络 |
高 |
低 |
无 |
改变 |
低 |
低 |
无 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2013-4286 |
Oracle Communications Policy Management |
Tomcat |
多个 |
是 |
4.8 |
网络 |
高 |
无 |
无 |
不变 |
低 |
低 |
无 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2015-0433 |
Oracle Communications Policy Management |
MySQL |
多个 |
否 |
4.4 |
网络 |
高 |
高 |
无 |
不变 |
无 |
无 |
高 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2015-0423 |
Oracle Communications Policy Management |
MySQL |
多个 |
否 |
4.3 |
网络 |
低 |
低 |
无 |
不变 |
无 |
无 |
低 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2015-0500 |
Oracle Communications Policy Management |
MySQL |
多个 |
否 |
4.3 |
网络 |
低 |
低 |
无 |
不变 |
无 |
无 |
低 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2015-0409 |
Oracle Communications Policy Management |
MySQL |
多个 |
否 |
4.3 |
网络 |
低 |
低 |
无 |
不变 |
无 |
无 |
低 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2015-0381 |
Oracle Communications Policy Management |
MySQL |
多个 |
是 |
3.7 |
网络 |
高 |
无 |
无 |
不变 |
无 |
无 |
低 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
| CVE-2015-0382 |
Oracle Communications Policy Management |
MySQL |
多个 |
是 |
3.7 |
网络 |
高 |
无 |
无 |
不变 |
无 |
无 |
低 |
9.7.3、9.9.1、10.4.1、12.1.1 及早期版本 |
|
解决的其他 CVE:
- CVE-2014-9296 修复程序还解决了 CVE-2014-9293、CVE-2014-9294 和 CVE-2014-9295。
- CVE-2015-1791 修复程序还解决了 CVE-2015-1788、CVE-2015-1789、CVE-2015-1790 和 CVE-2015-1792。
附录 — Oracle 金融服务应用
Oracle 金融服务应用执行概要
该重要补丁更新包含 24 个针对 Oracle 金融服务应用的新安全修复程序。其中 3 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。
Oracle 金融服务应用风险表
| 漏洞号 |
组件 |
子组件 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2015-7501 |
Oracle FLEXCUBE Core Banking |
Apache Commons Collections |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
11.5.0.0.0、11.6.0.0.0 |
|
| CVE-2015-7501 |
Oracle FLEXCUBE Enterprise Limits and Collateral Management |
Apache Commons Collections |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
12.0.0、12.1.0 |
|
| CVE-2015-7501 |
Oracle FLEXCUBE Investor Servicing |
Apache Commons Collections |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
12.0.1 |
|
| CVE-2015-7501 |
Oracle FLEXCUBE Private Banking |
Apache Commons Collections |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
2.0.0、2.0.1、2.2.0、12.0.0、12.0.1、12.0.2、12.0.3、12.1.0 |
|
| CVE-2015-7501 |
Oracle FLEXCUBE Universal Banking |
Apache Commons Collections |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
12.87.1、12.87.2 |
|
| CVE-2015-7501 |
Oracle FLEXCUBE Universal Banking |
Apache Commons Collections |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
11.3.0、11.4.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0 |
|
| CVE-2016-5607 |
Oracle FLEXCUBE Universal Banking |
INFRA |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
11.3.0、11.4.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0 |
|
| CVE-2015-7501 |
Oracle Financial Services Analytical Applications Infrastructure |
Apache Commons Collections |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
7.3.0、7.3.1、7.3.2、7.3.3、7.3.4、7.3.5、8.0.0、8.0.1、8.0.2、8.0.3 |
|
| CVE-2016-0635 |
Oracle Financial Services Analytical Applications Infrastructure |
内联处理 |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
8.0.0、8.0.1、8.0.2、8.0.3 |
|
| CVE-2015-7501 |
Oracle Financial Services Lending and Leasing |
Apache Commons Collections |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
14.1.0、14.2.0 |
|
| CVE-2016-5622 |
Oracle FLEXCUBE Universal Banking |
INFRA |
HTTP |
是 |
8.2 |
网络 |
低 |
无 |
需要 |
改变 |
高 |
低 |
无 |
11.3.0、11.4.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0 |
|
| CVE-2016-3081 |
Oracle FLEXCUBE Private Banking |
Struts |
HTTP |
是 |
8.1 |
网络 |
高 |
无 |
无 |
不变 |
高 |
高 |
高 |
2.0.0、2.0.1、2.2.0、12.0.1、12.0.3、12.1.0 |
|
| CVE-2016-5619 |
Oracle FLEXCUBE Universal Banking |
INFRA |
HTTP |
否 |
8.1 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
无 |
11.3.0、11.4.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0 |
|
| CVE-2016-5543 |
Oracle FLEXCUBE Enterprise Limits and Collateral Management |
INFRA |
HTTP |
是 |
6.1 |
网络 |
低 |
无 |
需要 |
改变 |
低 |
低 |
无 |
12.0.0、12.1.0 |
|
| CVE-2016-5569 |
Oracle FLEXCUBE Enterprise Limits and Collateral Management |
Limits and Collateral |
HTTP |
否 |
5.4 |
网络 |
低 |
低 |
无 |
不变 |
低 |
低 |
无 |
12.0.0、12.1.0 |
|
| CVE-2016-5502 |
Oracle FLEXCUBE Universal Banking |
INFRA |
HTTP |
否 |
5.4 |
网络 |
低 |
低 |
无 |
不变 |
低 |
低 |
无 |
11.3.0、11.4.0、12.0.1、12.0.2、12.0.3 |
|
| CVE-2016-5620 |
Oracle FLEXCUBE Universal Banking |
INFRA |
HTTP |
否 |
5.4 |
网络 |
低 |
低 |
无 |
不变 |
低 |
低 |
无 |
11.3.0、11.4.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0 |
|
| CVE-2016-5594 |
Oracle FLEXCUBE Universal Banking |
INFRA |
HTTP |
否 |
5.0 |
网络 |
低 |
低 |
无 |
改变 |
低 |
无 |
无 |
11.3.0、11.4.0、12.0.1、12.0.2、12.0.3 |
|
| CVE-2016-5479 |
Oracle FLEXCUBE Universal Banking |
INFRA |
HTTP |
否 |
4.3 |
网络 |
低 |
低 |
无 |
不变 |
低 |
无 |
无 |
11.3.0、11.4.0、12.0.1 |
|
| CVE-2016-5603 |
Oracle FLEXCUBE Universal Banking |
INFRA |
HTTP |
否 |
4.3 |
网络 |
低 |
低 |
无 |
不变 |
低 |
无 |
无 |
11.3.0、11.4.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0 |
|
| CVE-2016-5621 |
Oracle FLEXCUBE Universal Banking |
INFRA |
HTTP |
否 |
4.3 |
网络 |
低 |
低 |
无 |
不变 |
低 |
无 |
无 |
11.3.0、11.4.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0 |
|
| CVE-2016-5493 |
Oracle FLEXCUBE Private Banking |
管理 |
HTTP |
否 |
4.2 |
网络 |
高 |
低 |
无 |
不变 |
低 |
低 |
无 |
12.0.1、12.0.2、12.0.3 |
|
| CVE-2016-5490 |
Oracle FLEXCUBE Universal Banking |
INFRA |
无 |
否 |
3.3 |
本地 |
低 |
低 |
无 |
不变 |
低 |
无 |
无 |
11.4.0 |
|
| CVE-2015-7501 |
Oracle Banking Digital Experience |
Apache Commons Collections |
HTTP |
否 |
2.0 |
网络 |
高 |
高 |
需要 |
不变 |
低 |
无 |
无 |
15.1 |
|
解决的其他 CVE:
- CVE-2016-3081 修复程序还解决了 CVE-2014-7809。
附录 — Oracle 健康科学应用
Oracle 健康科学应用执行概要
该重要补丁更新包含 1 个针对 Oracle 健康科学应用的新安全修复程序。此漏洞无需身份验证才可远程利用,即,无需用户凭证即可通过网络利用该漏洞。在此可获取此风险表的英语文本形式。
Oracle 健康科学应用风险表
| 漏洞号 |
组件 |
子组件 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2016-2107 |
Oracle Life Sciences Data Hub |
OpenSSL |
SSL |
是 |
8.2 |
网络 |
低 |
无 |
无 |
不变 |
低 |
无 |
高 |
2.x |
|
解决的其他 CVE:
- CVE-2016-2107 修复程序还解决了 CVE-2016-2105、CVE-2016-2106、CVE-2016-2109 和 CVE-2099-1234。
附录 — Oracle 酒店管理应用
Oracle 酒店管理应用执行概要
该重要补丁更新包含 3 个针对 Oracle 酒店管理应用的新安全修复程序。其中不存在无需身份验证即可远程利用的漏洞,即无人可以在无需用户凭证的情况下通过网络利用这些漏洞)。在此可获取此风险表的英语文本形式。
Oracle 酒店管理应用风险表
| 漏洞号 |
组件 |
子组件 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2016-5563 |
Oracle Hospitality OPERA 5 Property Services |
OPERA 文件上载下载 |
HTTP |
否 |
7.9 |
网络 |
高 |
高 |
无 |
改变 |
高 |
高 |
低 |
5.4.0.0、5.4.1.0、5.4.2.0、5.4.3.0、5.5.0.0、5.5.1.0 |
|
| CVE-2016-5565 |
Oracle Hospitality OPERA 5 Property Services |
OPERA Xchange Interface (OXI) |
HTTP |
否 |
7.7 |
网络 |
低 |
低 |
无 |
改变 |
高 |
无 |
无 |
5.4.0.0、5.4.1.0、5.4.2.0、5.4.3.0、5.5.0.0、5.5.1.0 |
|
| CVE-2016-5564 |
Oracle Hospitality OPERA 5 Property Services |
OPERA 应用登录 |
HTTP |
否 |
7.4 |
网络 |
低 |
低 |
无 |
改变 |
低 |
低 |
低 |
5.4.0.0、5.4.1.0、5.4.2.0、5.4.3.0、5.5.0.0、5.5.1.0 |
|
附录 — Oracle 保险应用
Oracle 保险应用执行概要
该重要补丁更新包含 1 个针对 Oracle 保险应用的新安全修复程序。此漏洞必需身份验证才可远程利用,即,没有用户凭证就不能通过网络利用该漏洞。在此可获取此风险表的英语文本形式。
Oracle 保险应用风险表
| 漏洞号 |
组件 |
子组件 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2015-7501 |
Oracle Insurance IStream |
Apache Commons Collections |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
4.3.2 |
|
附录 — Oracle 零售应用
Oracle 零售应用执行概要
该重要补丁更新包含 10 个针对 Oracle 零售应用的新安全修复程序。其中 5 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。
Oracle 零售应用风险表
| 漏洞号 |
组件 |
子组件 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2015-3253 |
Oracle Retail Customer Insights |
安全性 |
HTTP |
是 |
9.8 |
网络 |
低 |
无 |
无 |
不变 |
高 |
高 |
高 |
15.0 |
|
| CVE-2015-3253 |
Oracle Retail Merchandising Insights |
安全性 |
HTTP |
是 |
9.8 |
网络 |
低 |
无 |
无 |
不变 |
高 |
高 |
高 |
15.0 |
|
| CVE-2015-7501 |
MICROS XBR |
Liferay |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
7.0.2、7.0.4 |
|
| CVE-2015-7501 |
Oracle Retail Clearance Optimization Engine |
General Application |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
13.2、13.3、13.4、14.0 |
|
| CVE-2015-7501 |
Oracle 零售终端系统 |
Xenvironment |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
5.0、5.5、6.0、6.5、7.0、7.1 |
|
| CVE-2016-1881 |
Oracle Retail Back Office |
安全性 |
HTTP |
是 |
8.3 |
网络 |
低 |
无 |
无 |
改变 |
低 |
低 |
低 |
13.0、13.1、13.2、13.3、13.4、14.0、14.1 |
|
| CVE-2016-1881 |
Oracle Retail Central Office |
安全性 |
HTTP |
是 |
8.3 |
网络 |
低 |
无 |
无 |
改变 |
低 |
低 |
低 |
13.0、13.1、13.2、13.3、13.4、14.0、14.1 |
|
| CVE-2016-1881 |
Oracle 零售退货管理 |
安全性 |
HTTP |
是 |
8.3 |
网络 |
低 |
无 |
无 |
改变 |
低 |
低 |
低 |
13.0、13.1、13.2、13.3、13.4、14.0、14.1 |
|
| CVE-2016-5539 |
Oracle 零售门店支付 |
安全性 |
HTTP |
否 |
7.3 |
物理 |
低 |
低 |
无 |
改变 |
高 |
高 |
低 |
1.x |
|
| CVE-2016-5540 |
Oracle 零售门店支付 |
安全性 |
HTTP |
否 |
6.7 |
物理 |
高 |
低 |
无 |
改变 |
高 |
高 |
无 |
1.x |
|
解决的其他 CVE:
- CVE-2015-7501 修复程序还解决了 CVE-2015-4852。
- CVE-2016-1881 修复程序还解决了 CVE-2012-1007、CVE-2014-0114、CVE-2016-1181 和 CVE-2016-1182。
附录 — Oracle Primavera 产品套件
Oracle Primavera 产品套件执行概要
该重要补丁更新包含 2 个针对 Oracle Primavera 产品套件的新安全修复程序。其中 1 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。
Oracle Primavera 产品套件风险表
| 漏洞号 |
组件 |
子组件 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2016-2107 |
Primavera P6 专业项目管理 |
OpenSSL |
HTTP |
是 |
8.2 |
网络 |
低 |
无 |
无 |
不变 |
低 |
无 |
高 |
8.3、8.4、15.x、16.x |
|
| CVE-2016-5533 |
Primavera P6 企业项目组合管理 |
团队成员 |
HTTP |
否 |
5.4 |
网络 |
低 |
低 |
无 |
不变 |
低 |
低 |
无 |
8.4、15.x、16.x |
|
解决的其他 CVE:
- CVE-2016-2107 修复程序还解决了 CVE-2016-2105、CVE-2016-2106、CVE-2016-2109 和 CVE-2016-2176。
附录 — Oracle Java SE
Oracle Java SE 执行概要
该重要补丁更新包含 7 个针对 Oracle Java SE 的新安全修复程序。所有这些漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。
以下 CVSS 评分假定运行 Java 小程序或 Java Web Start 应用的用户拥有管理员权限(这是 Windows 上的典型情况)。如果用户未以管理员权限运行(Solaris 和 Linux 的典型情况),则对机密性、完整性以及可用性的对应 CVSS 评分的影响是“低”而非“高”,降低了 CVSS 基本评分。例如,基本评分 9.6 变成 7.1。
用户应使用最新 JDK 和 JRE 8 中的默认 Java 插件和 Java Web Start。
Oracle Java SE 风险表
| 漏洞号 |
组件 |
子组件 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2016-5556 |
Java SE |
2D |
多个 |
是 |
9.6 |
网络 |
低 |
无 |
需要 |
改变 |
高 |
高 |
高 |
Java SE:6u121、7u111、8u102 |
参见注释 1 |
| CVE-2016-5568 |
Java SE |
AWT |
多个 |
是 |
9.6 |
网络 |
低 |
无 |
需要 |
改变 |
高 |
高 |
高 |
Java SE:6u121、7u111、8u102 |
参见注释 1 |
| CVE-2016-5582 |
Java SE、Java SE Embedded |
Hotspot |
多个 |
是 |
9.6 |
网络 |
低 |
无 |
需要 |
改变 |
高 |
高 |
高 |
Java SE:6u121、7u111、8u102;Java SE Embedded:8u101 |
参见注释 1 |
| CVE-2016-5573 |
Java SE、Java SE Embedded |
Hotspot |
多个 |
是 |
8.3 |
网络 |
高 |
无 |
需要 |
改变 |
高 |
高 |
高 |
Java SE:6u121、7u111、8u102;Java SE Embedded:8u101 |
参见注释 1 |
| CVE-2016-5597 |
Java SE、Java SE Embedded |
网络 |
多个 |
是 |
5.9 |
网络 |
高 |
无 |
无 |
不变 |
高 |
无 |
无 |
Java SE:6u121、7u111、8u102;Java SE Embedded:8u101 |
参见注释 1 |
| CVE-2016-5554 |
Java SE、Java SE Embedded |
JMX |
多个 |
是 |
4.3 |
网络 |
低 |
无 |
需要 |
不变 |
无 |
低 |
无 |
Java SE:6u121、7u111、8u102;Java SE Embedded:8u101 |
参见注释 1 |
| CVE-2016-5542 |
Java SE、Java SE Embedded |
库 |
多个 |
是 |
3.1 |
网络 |
高 |
无 |
需要 |
不变 |
无 |
低 |
无 |
Java SE:6u121、7u111、8u102;Java SE Embedded:8u101 |
参见注释 1 |
注:
- 该漏洞适用于加载和运行不受信任的代码(例如,来自互联网的代码)并依赖 Java 沙盒获得安全性的 Java 部署(通常在运行沙盒 Java Web Start 应用或沙盒 Java 小程序的客户端中)。该漏洞不适用于仅加载和运行受信任的代码(例如,管理员安装的代码)的 Java 部署(通常在服务器中)。
附录 — Oracle Sun 系统产品套件
Oracle Sun 系统产品套件执行概要
该重要补丁更新包含 16 个针对 Oracle Sun 系统产品套件的新安全修复程序。其中 3 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。
Oracle Sun 系统产品套件风险表
| 漏洞号 |
组件 |
子组件 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2016-5503 |
Sun ZFS Storage Appliance Kit (AK) |
核心服务 |
无 |
否 |
8.2 |
本地 |
低 |
高 |
无 |
改变 |
高 |
高 |
高 |
AK 2013 |
|
| CVE-2016-5544 |
Solaris |
内核/X86 |
无 |
否 |
7.8 |
本地 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
10、11.3 |
|
| CVE-2016-5492 |
Sun ZFS Storage Appliance Kit (AK) |
SMB 用户 |
无 |
否 |
7.1 |
本地 |
低 |
低 |
无 |
不变 |
高 |
高 |
无 |
AK 2013 |
参见注释 1 |
| CVE-2016-5606 |
Solaris |
内核区域 |
无 |
否 |
6.1 |
本地 |
低 |
低 |
无 |
不变 |
无 |
低 |
高 |
11.3 |
|
| CVE-2016-5576 |
Solaris |
内核区域 |
无 |
否 |
5.5 |
本地 |
低 |
低 |
无 |
不变 |
无 |
无 |
高 |
11.3 |
|
| CVE-2016-5486 |
Sun ZFS Storage Appliance Kit (AK) |
核心服务 |
无 |
否 |
5.5 |
本地 |
低 |
低 |
无 |
不变 |
高 |
无 |
无 |
AK 2013 |
|
| CVE-2016-5566 |
Solaris |
安装 |
HTTP |
是 |
5.3 |
网络 |
低 |
无 |
无 |
不变 |
低 |
无 |
无 |
11.3 |
|
| CVE-2016-5487 |
Solaris |
文件 |
无 |
否 |
5.3 |
本地 |
低 |
低 |
无 |
不变 |
低 |
低 |
低 |
11.3 |
|
| CVE-2016-5553 |
Solaris |
文件系统 |
无 |
否 |
5.0 |
本地 |
低 |
低 |
需要 |
不变 |
无 |
无 |
高 |
10、11.3 |
|
| CVE-2016-5559 |
Solaris |
内核 |
无 |
否 |
4.1 |
本地 |
高 |
高 |
无 |
不变 |
无 |
高 |
无 |
10、11.3 |
|
| CVE-2016-5481 |
Sun ZFS Storage Appliance Kit (AK) |
核心服务 |
DNS |
是 |
3.7 |
网络 |
高 |
无 |
无 |
不变 |
低 |
无 |
无 |
AK 2013 |
|
| CVE-2016-5615 |
Solaris |
Lynx |
无 |
否 |
3.3 |
本地 |
低 |
低 |
无 |
不变 |
无 |
无 |
低 |
11.3 |
|
| CVE-2016-5508 |
Solaris Cluster |
Cluster Geo |
无 |
否 |
3.3 |
本地 |
低 |
低 |
无 |
不变 |
低 |
无 |
无 |
4.3 |
|
| CVE-2016-5525 |
Solaris Cluster |
Cluster check files |
无 |
否 |
3.3 |
本地 |
低 |
低 |
无 |
不变 |
无 |
低 |
无 |
3.3、4.3 |
|
| CVE-2016-5561 |
Solaris |
IKE |
IKEv2 |
是 |
3.1 |
网络 |
高 |
无 |
需要 |
不变 |
无 |
无 |
低 |
11.3 |
|
| CVE-2016-5480 |
Solaris |
Bash |
无 |
否 |
2.8 |
本地 |
低 |
低 |
需要 |
不变 |
无 |
低 |
无 |
10 |
|
注:
- 此漏洞适用于本地用户(即 /etc/passwd 中的用户),不适用于其他用户(如 LDAP)。
附录 — Oracle Linux 和 Oracle 虚拟化
Oracle 虚拟化执行概要
该重要补丁更新包含 13 个针对 Oracle 虚拟化的新安全修复程序。其中 4 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。
Oracle 虚拟化风险表
| 漏洞号 |
组件 |
子组件 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2016-5580 |
Secure Global Desktop |
Web 服务 |
多个 |
否 |
9.6 |
网络 |
低 |
低 |
无 |
改变 |
高 |
无 |
高 |
4.7、5.2 |
|
| CVE-2016-5605 |
Oracle VM VirtualBox |
VirtualBox Remote Desktop Extension (VRDE) |
VRDP |
是 |
9.1 |
网络 |
低 |
无 |
无 |
不变 |
高 |
高 |
无 |
VirtualBox 5.1.4 之前的版本 |
|
| CVE-2016-0714 |
Virtual Desktop Infrastructure |
Apache Tomcat |
HTTP |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
VDI 3.5.3 之前的版本 |
|
| CVE-2015-7501 |
Virtual Desktop Infrastructure |
Apache Commons Collection |
多个 |
否 |
8.8 |
网络 |
低 |
低 |
无 |
不变 |
高 |
高 |
高 |
VDI 3.5.3 之前的版本 |
|
| CVE-2016-2107 |
Sun Ray Operating Software |
OpenSSL |
SSL/TLS |
是 |
8.2 |
网络 |
低 |
无 |
无 |
不变 |
低 |
无 |
高 |
SROS 11.1.7 之前的版本 |
|
| CVE-2016-5501 |
Oracle VM VirtualBox |
Core |
无 |
否 |
7.8 |
本地 |
高 |
低 |
无 |
改变 |
高 |
高 |
高 |
VirtualBox 5.0.28 之前的版本、5.1.8 之前的版本 |
|
| CVE-2016-6304 |
Oracle VM VirtualBox |
OpenSSL |
SSL/TLS |
是 |
7.5 |
网络 |
低 |
无 |
无 |
不变 |
无 |
无 |
高 |
VirtualBox 5.0.28 之前的版本、5.1.8 之前的版本 |
|
| CVE-2015-7940 |
Virtual Desktop Infrastructure |
Bouncy Castle Java |
多个 |
是 |
7.5 |
网络 |
低 |
无 |
无 |
不变 |
高 |
无 |
无 |
VDI 3.5.3 之前的版本 |
|
| CVE-2016-5610 |
Oracle VM VirtualBox |
Core |
无 |
否 |
6.8 |
本地 |
低 |
无 |
无 |
改变 |
低 |
低 |
低 |
VirtualBox 5.0.28 之前的版本、5.1.8 之前的版本 |
|
| CVE-2016-5538 |
Oracle VM VirtualBox |
Core |
无 |
否 |
6.7 |
本地 |
低 |
高 |
无 |
不变 |
高 |
高 |
高 |
VirtualBox 5.0.28 之前的版本、5.1.8 之前的版本 |
|
| CVE-2016-5608 |
Oracle VM VirtualBox |
Core |
无 |
否 |
5.5 |
本地 |
低 |
低 |
无 |
不变 |
无 |
无 |
高 |
VirtualBox 5.0.28 之前的版本、5.1.8 之前的版本 |
|
| CVE-2016-5611 |
Oracle VM VirtualBox |
Core |
无 |
否 |
4.3 |
本地 |
低 |
无 |
无 |
改变 |
低 |
无 |
无 |
VirtualBox 5.0.28 之前的版本、5.1.8 之前的版本 |
|
| CVE-2016-5613 |
Oracle VM VirtualBox |
Core |
无 |
否 |
4.3 |
本地 |
低 |
无 |
无 |
改变 |
无 |
无 |
低 |
VirtualBox 5.0.28 之前的版本、5.1.8 之前的版本 |
|
解决的其他 CVE:
- CVE-2016-0714 修复程序还解决了 CVE-2015-5351、CVE-2016-0706 和 CVE-2016-0763。
- CVE-2016-2107 修复程序还解决了 CVE-2016-2105、CVE-2016-2106 和 CVE-2016-2109。
- CVE-2016-6304 修复程序还解决了 CVE-2016-2177、CVE-2016-2178、CVE-2016-2179、CVE-2016-2180、CVE-2016-2181、CVE-2016-2182、CVE-2016-2183、CVE-2016-6302、CVE-2016-6303、CVE-2016-6305、CVE-2016-6306、CVE-2016-6307、CVE-2016-6308、CVE-2016-6309 和 CVE-2016-7052。
附录 — Oracle MySQL
Oracle MySQL 执行概要
该重要补丁更新包含 31 个针对 Oracle MySQL 的新安全修复程序。其中 2 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。
Oracle MySQL 风险表
| 漏洞号 |
组件 |
子组件 |
协议 |
无需身份验证即可远程利用? |
CVSS 3.0 版风险(参阅风险表定义) |
受影响的支持版本 |
说明 |
基本
评分 |
攻击
途径 |
攻击
复杂性 |
所需
权限 |
用户
交互 |
范围 |
机密性 |
完整性 |
可用性 |
| CVE-2016-6304 |
MySQL Server |
服务器:安全性:加密 |
MySQL 协议 |
是 |
7.5 |
网络 |
低 |
无 |
无 |
不变 |
无 |
无 |
高 |
5.6.33 及早期版本、5.7.15 及早期版本 |
|
| CVE-2016-6662 |
MySQL Server |
服务器:日志记录 |
无 |
否 |
7.2 |
本地 |
高 |
高 |
需要 |
改变 |
高 |
高 |
高 |
5.5.52 及早期版本、5.6.33 及早期版本、5.7.15 及早期版本 |
|
| CVE-2016-5617 |
MySQL Server |
服务器:错误处理 |
无 |
否 |
7.0 |
本地 |
高 |
低 |
无 |
不变 |
高 |
高 |
高 |
5.5.51 及早期版本、5.6.32 及早期版本、5.7.14 及早期版本 |
|
| CVE-2016-5616 |
MySQL Server |
服务器:MyISAM |
无 |
否 |
7.0 |
本地 |
高 |
低 |
无 |
不变 |
高 |
高 |
高 |
5.5.51 及早期版本、5.6.32 及早期版本、5.7.14 及早期版本 |
|
| CVE-2016-5625 |
MySQL Server |
服务器:打包 |
无 |
否 |
7.0 |
本地 |
高 |
低 |
无 |
不变 |
高 |
高 |
高 |
5.7.14 及早期版本 |
|
| CVE-2016-5609 |
MySQL Server |
服务器:DML |
MySQL 协议 |
否 |
6.5 |
网络 |
低 |
低 |
无 |
不变 |
无 |
无 |
高 |
5.6.31 及早期版本、5.7.13 及早期版本 |
|
| CVE-2016-5612 |
MySQL Server |
服务器:DML |
MySQL 协议 |
否 |
6.5 |
网络 |
低 |
低 |
无 |
不变 |
无 |
无 |
高 |
5.5.50 及早期版本、5.6.31 及早期版本、5.7.13 及早期版本 |
|
| CVE-2016-5624 |
MySQL Server |
服务器:DML |
MySQL 协议 |
否 |
6.5 |
网络 |
低 |
低 |
无 |
不变 |
无 |
无 |
高 |
5.5.51 及早期版本 |
|
| CVE-2016-5626 |
MySQL Server |
服务器:GIS |
MySQL 协议 |
否 |
6.5 |
网络 |
低 |
低 |
无 |
不变 |
无 |
无 |
高 |
5.5.51 及早期版本、5.6.32 及早期版本、5.7.14 及早期版本 |
|
| CVE-2016-5627 |
MySQL Server |
服务器:InnoDB |
MySQL 协议 |
否 |
6.5 |
网络 |
低 |
低 |
无 |
不变 |
无 |
无 |
高 |
5.6.31 及早期版本、5.7.13 及早期版本 |
|
| CVE-2016-3492 |
MySQL Server |
服务器:优化器 |
MySQL 协议 |
否 |
6.5 |
网络 |
低 |
低 |
无 |
不变 |
无 |
无 |
高 |
5.5.51 及早期版本、5.6.32 及早期版本、5.7.14 及早期版本 |
|
| CVE-2016-5598 |
MySQL Connector |
Connector/Python |
MySQL 协议 |
是 |
5.6 |
网络 |
高 |
无 |
无 |
不变 |
低 |
低 |
低 |
2.1.3 及早期版本、2.0.4 及早期版本 |
|
| CVE-2016-7440 |
MySQL Server |
服务器:安全性:加密 |
无 |
否 |
5.1 |
本地 |
高 |
无 |
无 |
不变 |
高 |
无 |
无 |
5.5.52 及早期版本、5.6.33 及早期版本、5.7.15 及早期版本 |
|
| CVE-2016-5628 |
MySQL Server |
服务器:DML |
MySQL 协议 |
否 |
4.9 |
网络 |
低 |
高 |
无 |
不变 |
无 |
无 |
高 |
5.7.13 及早期版本 |
|
| CVE-2016-5629 |
MySQL Server |
服务器:联合 |
MySQL 协议 |
否 |
4.9 |
网络 |
低 |
高 |
无 |
不变 |
无 |
无 |
高 |
5.5.51 及早期版本、5.6.32 及早期版本、5.7.14 及早期版本 |
|
| CVE-2016-3495 |
MySQL Server |
服务器:InnoDB |
MySQL 协议 |
否 |
4.9 |
网络 |
低 |
高 |
无 |
不变 |
无 |
无 |
高 |
5.7.13 及早期版本 |
|
| CVE-2016-5630 |
MySQL Server |
服务器:InnoDB |
MySQL 协议 |
否 |
4.9 |
网络 |
低 |
高 |
无 |
不变 |
无 |
无 |
高 |
5.6.31 及早期版本、5.7.13 及早期版本 |
|
| CVE-2016-5507 |
MySQL Server |
服务器:InnoDB |
MySQL 协议 |
否 |
4.9 |
网络 |
低 |
高 |
无 |
不变 |
无 |
无 |
高 |
5.6.32 及早期版本、5.7.14 及早期版本 |
|
| CVE-2016-5631 |
MySQL Server |
服务器:Memcached |
MySQL 协议 |
否 |
4.9 |
网络 |
低 |
高 |
无 |
不变 |
无 |
无 |
高 |
5.7.13 及早期版本 |
|
| CVE-2016-5632 |
MySQL Server |
服务器:优化器 |
MySQL 协议 |
否 |
4.9 |
网络 |
低 |
高 |
无 |
不变 |
无 |
无 |
高 |
5.7.14 及早期版本 |
|
| CVE-2016-5633 |
MySQL Server |
服务器:Performance Schema |
MySQL 协议 |
否 |
4.9 |
网络 |
低 |
高 |
无 |
不变 |
无 |
无 |
高 |
5.7.13 及早期版本 |
|
| CVE-2016-5634 |
MySQL Server |
服务器:RBR |
MySQL 协议 |
否 |
4.9 |
网络 |
低 |
高 |
无 |
不变 |
无 |
无 |
高 |
5.7.13 及早期版本 |
|
| CVE-2016-5635 |
MySQL Server |
服务器:安全性:审计 |
MySQL 协议 |
否 |
4.9 |
网络 |
低 |
高 |
无 |
不变 |
无 |
无 |
高 |
5.7.13 及早期版本 |
|
| CVE-2016-8289 |
MySQL Server |
服务器:InnoDB |
无 |
否 |
4.7 |
本地 |
高 |
高 |
无 |
不变 |
无 |
低 |
高 |
5.7.13 及早期版本 |
|
| CVE-2016-8287 |
MySQL Server |
服务器:复制 |
MySQL 协议 |
否 |
4.5 |
网络 |
低 |
高 |
需要 |
不变 |
无 |
无 |
高 |
5.7.13 及早期版本 |
|
| CVE-2016-8290 |
MySQL Server |
服务器:Performance Schema |
MySQL 协议 |
否 |
4.4 |
网络 |
高 |
高 |
无 |
不变 |
无 |
无 |
高 |
5.7.13 及早期版本 |
|
| CVE-2016-5584 |
MySQL Server |
服务器:安全性:加密 |
MySQL 协议 |
否 |
4.4 |
网络 |
高 |
高 |
无 |
不变 |
高 |
无 |
无 |
5.5.52 及早期版本、5.6.33 及早期版本、5.7.15 及早期版本 |
|
| CVE-2016-8283 |
MySQL Server |
服务器:类型 |
MySQL 协议 |
否 |
4.3 |
网络 |
低 |
低 |
无 |
不变 |
无 |
无 |
低 |
5.5.51 及早期版本、5.6.32 及早期版本、5.7.14 及早期版本 |
|
| CVE-2016-8288 |
MySQL Server |
服务器:InnoDB 插件 |
MySQL 协议 |
否 |
3.1 |
网络 |
高 |
低 |
无 |
不变 |
无 |
低 |
无 |
5.6.30 及早期版本、5.7.12 及早期版本 |
|
| CVE-2016-8286 |
MySQL Server |
服务器:安全性:权限 |
MySQL 协议 |
否 |
3.1 |
网络 |
高 |
低 |
无 |
不变 |
低 |
无 |
无 |
5.7.14 及早期版本 |
|
| CVE-2016-8284 |
MySQL Server |
服务器:复制 |
无 |
否 |
1.8 |
本地 |
高 |
高 |
需要 |
不变 |
无 |
无 |
低 |
5.6.31 及早期版本、5.7.13 及早期版本 |
|
解决的其他 CVE:
- CVE-2016-6304 修复程序还解决了 CVE-2016-2177、CVE-2016-2178、CVE-2016-2179、CVE-2016-2180、CVE-2016-2181、CVE-2016-2182、CVE-2016-2183、CVE-2016-6302、CVE-2016-6303 和 CVE-2016-6306。
|