附录 — Oracle 数据库服务器 Oracle 数据库服务器执行概要 该重要补丁更新包含以下 3 个针对 Oracle 数据库服务器的新安全修复程序: - 2 个针对 Oracle 数据库服务器的新安全修复程序。其中不存在无需身份验证即可远程利用的漏洞,即无人可以在无需用户凭证的情况下通过网络利用这些漏洞。其中 1 个修复程序适用于仅客户端的安装(即,没有安装 Oracle 数据库服务器的安装)。在此可获取此风险表的英语文本形式。
- 1 个针对 Oracle Secure Backup 的新安全修复程序。此漏洞无需身份验证即可远程利用,即,无需用户凭证即可通过网络利用该漏洞。在此可获取此风险表的英语文本形式。
Oracle 数据库服务器风险表
| 漏洞号 | 组件 | 所需的程序包和/或权限 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2017-3486 | SQL*Plus | 本地登录 | Oracle Net | 否 | 7.2 | 本地 | 高 | 高 | 需要 | 改变 | 高 | 高 | 高 | 11.2.0.4、12.1.0.2 | 参见注释 1 | | CVE-2017-3567 | OJVM | 具备 Create Session、Create Procedure 权限 | 多个 | 否 | 5.3 | 网络 | 高 | 低 | 无 | 不变 | 无 | 无 | 高 | 11.2.0.4、12.1.0.2 | | 注: - 此评分适用于数据库的 Windows 平台 11.2.0.4 版。对于 Windows 平台 12.1.0.2 版和 Linux,评分为 6.3,范围不变。
仅具有 Oracle 数据库服务器客户端的安装 本重要补丁更新中包括的下列 Oracle 数据库服务器漏洞影响仅具有客户端的安装:CVE-2017-3486。
Oracle Secure Backup 执行概要 该重要补丁更新包含 1 个针对 Oracle Secure Backup 的新安全修复程序。此漏洞无需身份验证即可远程利用,即,无需用户凭证即可通过网络利用该漏洞。在此可获取此风险表的英语文本形式。 Oracle Secure Backup 风险表
| 漏洞号 | 组件 | 所需的程序包和/或权限 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2016-6290 | PHP | 无 | 多个 | 是 | 9.8 | 网络 | 低 | 无 | 无 | 不变 | 高 | 高 | 高 | 12.1.0.3.0 之前的版本 | | 下面是解决的其他 CVE: - CVE-2016-6290 修复程序还解决了 CVE-2016-6288、CVE-2016-6289、CVE-2016-6291、CVE-2016-6292、CVE-2016-6294、CVE-2016-6295、CVE-2016-6296 和 CVE-2016-6297。
附录 — Oracle Berkeley DB Oracle Berkeley DB 执行概要 该重要补丁更新包含 14 个针对 Oracle Berkeley DB 的新安全修复程序。其中不存在无需身份验证即可远程利用的漏洞,即无人可以在无需用户凭证的情况下通过网络利用这些漏洞)。在此可获取此风险表的英语文本形式。 Oracle Berkeley DB 风险表
| 漏洞号 | 组件 | 所需的程序包和/或权限 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2017-3604 | 数据存储 | 无 | 无 | 否 | 7.0 | 本地 | 高 | 无 | 需要 | 不变 | 高 | 高 | 高 | 6.2.32 之前的版本 | | | CVE-2017-3605 | 数据存储 | 无 | 无 | 否 | 7.0 | 本地 | 高 | 无 | 需要 | 不变 | 高 | 高 | 高 | 6.2.32 之前的版本 | | | CVE-2017-3606 | 数据存储 | 无 | 无 | 否 | 7.0 | 本地 | 高 | 无 | 需要 | 不变 | 高 | 高 | 高 | 6.2.32 之前的版本 | | | CVE-2017-3607 | 数据存储 | 无 | 无 | 否 | 7.0 | 本地 | 高 | 无 | 需要 | 不变 | 高 | 高 | 高 | 6.2.32 之前的版本 | | | CVE-2017-3608 | 数据存储 | 无 | 无 | 否 | 7.0 | 本地 | 高 | 无 | 需要 | 不变 | 高 | 高 | 高 | 6.2.32 之前的版本 | | | CVE-2017-3609 | 数据存储 | 无 | 无 | 否 | 7.0 | 本地 | 高 | 无 | 需要 | 不变 | 高 | 高 | 高 | 6.2.32 之前的版本 | | | CVE-2017-3610 | 数据存储 | 无 | 无 | 否 | 7.0 | 本地 | 高 | 无 | 需要 | 不变 | 高 | 高 | 高 | 6.2.32 之前的版本 | | | CVE-2017-3611 | 数据存储 | 无 | 无 | 否 | 7.0 | 本地 | 高 | 无 | 需要 | 不变 | 高 | 高 | 高 | 6.2.32 之前的版本 | | | CVE-2017-3612 | 数据存储 | 无 | 无 | 否 | 7.0 | 本地 | 高 | 无 | 需要 | 不变 | 高 | 高 | 高 | 6.2.32 之前的版本 | | | CVE-2017-3613 | 数据存储 | 无 | 无 | 否 | 7.0 | 本地 | 高 | 无 | 需要 | 不变 | 高 | 高 | 高 | 6.2.32 之前的版本 | | | CVE-2017-3614 | 数据存储 | 无 | 无 | 否 | 7.0 | 本地 | 高 | 无 | 需要 | 不变 | 高 | 高 | 高 | 6.2.32 之前的版本 | | | CVE-2017-3615 | 数据存储 | 无 | 无 | 否 | 7.0 | 本地 | 高 | 无 | 需要 | 不变 | 高 | 高 | 高 | 6.2.32 之前的版本 | | | CVE-2017-3616 | 数据存储 | 无 | 无 | 否 | 7.0 | 本地 | 高 | 无 | 需要 | 不变 | 高 | 高 | 高 | 6.2.32 之前的版本 | | | CVE-2017-3617 | 数据存储 | 无 | 无 | 否 | 7.0 | 本地 | 高 | 无 | 需要 | 不变 | 高 | 高 | 高 | 6.2.32 之前的版本 | |
附录 — Oracle 融合中间件 Oracle 融合中间件执行概要 该重要补丁更新包含 31 个针对 Oracle 融合中间件的新安全修复程序。其中 20 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。 Oracle 融合中间件产品包括受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库组件。Oracle 融合中间件产品暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库安全修复程序未列在 Oracle 融合中间件风险表中。然而,由于影响 Oracle 数据库版本的漏洞可能影响 Oracle 融合中间件产品,Oracle 建议客户将 2017 年 4 月的重要补丁更新应用于 Oracle 融合中间件产品的 Oracle 数据库组件。有关您的环境需要应用哪些补丁的信息,请参阅 2017 年 4 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 2228898.1。 Oracle 融合中间件风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2017-5638 | Oracle WebCenter Sites | 第三方工具 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0 | | | CVE-2017-3553 | Oracle Identity Manager | 规则引擎 | HTTP | 否 | 9.9 | 网络 | 低 | 低 | 无 | 改变 | 高 | 高 | 高 | 11.1.2.3.0 | | | CVE-2016-6303 | Oracle API Gateway | Oracle API Gateway (OpenSSL) | HTTPS | 是 | 9.8 | 网络 | 低 | 无 | 无 | 不变 | 高 | 高 | 高 | 11.1.2.4.0 | | | CVE-2015-7501 | Oracle Fusion Middleware MapViewer | Install (Apache Commons Collections) | HTTP | 是 | 9.8 | 网络 | 低 | 无 | 无 | 不变 | 高 | 高 | 高 | 11.1.1.9、12.2.1.1、12.2.1.2 | | | CVE-2017-5638 | Oracle WebLogic Server | 示例 (Struts 2) | HTTP | 是 | 9.8 | 网络 | 低 | 无 | 无 | 不变 | 高 | 高 | 高 | 10.3.6.0、12.1.3.0、12.2.1.0、12.2.1.1、12.2.1.2 | | | CVE-2016-0714 | Oracle WebCenter Sites | Apache Tomcat | HTTP | 否 | 8.8 | 网络 | 低 | 低 | 无 | 不变 | 高 | 高 | 高 | 11.1.1.8.0 | | | CVE-2015-7501 | Oracle WebCenter Sites | Sites (Apache Commons Collections) | HTTP | 否 | 8.8 | 网络 | 低 | 低 | 无 | 不变 | 高 | 高 | 高 | 11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0 | | | CVE-2017-3230 | Oracle Fusion Middleware MapViewer | Map Builder | HTTP | 是 | 8.6 | 网络 | 低 | 无 | 无 | 不变 | 低 | 高 | 低 | 11.1.1.9、12.2.1.1、12.2.1.2 | | | CVE-2017-3540 | Oracle WebCenter Sites | 服务器 | HTTP | 是 | 8.6 | 网络 | 低 | 无 | 无 | 不变 | 低 | 低 | 高 | 11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0 | | | CVE-2017-3542 | Oracle WebCenter Sites | 服务器 | HTTP | 是 | 8.6 | 网络 | 低 | 无 | 无 | 不变 | 高 | 低 | 低 | 11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0 | | | CVE-2017-3543 | Oracle WebCenter Sites | 服务器 | HTTP | 是 | 8.6 | 网络 | 低 | 无 | 无 | 不变 | 高 | 低 | 低 | 11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0 | | | CVE-2017-3625 | Oracle WebCenter Content | Content Server | HTTP | 是 | 8.2 | 网络 | 低 | 无 | 需要 | 改变 | 高 | 低 | 无 | 11.1.1.7、11.1.1.9、12.2.1.0、12.2.1.1、12.2.1.2 | | | CVE-2017-3545 | Oracle WebCenter Sites | Blob Server | HTTP | 是 | 8.2 | 网络 | 低 | 无 | 无 | 不变 | 低 | 高 | 无 | 11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0 | | | CVE-2017-3541 | Oracle WebCenter Sites | 服务器 | HTTP | 是 | 8.2 | 网络 | 低 | 无 | 无 | 不变 | 高 | 低 | 无 | 11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0 | | | CVE-2017-3601 | Oracle API Gateway | Oracle API Gateway | HTTP | 是 | 8.1 | 网络 | 低 | 无 | 需要 | 不变 | 高 | 高 | 无 | 11.1.2.4.0 | | | CVE-2017-3602 | Oracle WebCenter Sites | 高级 UI | HTTP | 否 | 8.1 | 网络 | 低 | 低 | 无 | 不变 | 高 | 高 | 无 | 11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0 | | | CVE-2017-3554 | Oracle WebCenter Sites | Catalog Mover | HTTP | 否 | 8.1 | 网络 | 低 | 低 | 无 | 不变 | 高 | 高 | 无 | 11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0 | | | CVE-2016-1181 | Oracle WebLogic Server | 示例 (Struts 1) | HTTP | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 10.3.6.0、12.1.3.0、12.2.1.0、12.2.1.1、12.2.1.2 | | | CVE-2017-3596 | Oracle WebCenter Sites | 高级 UI | HTTP | 否 | 7.6 | 网络 | 低 | 低 | 无 | 不变 | 高 | 低 | 低 | 11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0 | | | CVE-2017-3499 | Oracle Social Network | Android 客户端 | HTTPS | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 高 | 无 | 无 | 11.1.12.0.0 (17019101) 之前的版本 | | | CVE-2017-3506 | Oracle WebLogic Server | Web 服务 | HTTP | 是 | 7.4 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 无 | 10.3.6.0、12.1.3.0、12.2.1.0、12.2.1.1、12.2.1.2 | | | CVE-2017-3507 | Oracle Service Bus | Web Console Design | HTTP | 是 | 7.3 | 网络 | 低 | 无 | 无 | 不变 | 低 | 低 | 低 | 12.1.3.0.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0 | | | CVE-2017-3531 | Oracle WebLogic Server | Servlet Runtime | HTTP | 是 | 7.2 | 网络 | 低 | 无 | 无 | 改变 | 无 | 低 | 低 | 12.1.3.0、12.2.1.0、12.2.1.1、12.2.1.2 | | | CVE-2017-3593 | Oracle WebCenter Sites | 高级 UI | HTTP | 是 | 7.1 | 网络 | 低 | 无 | 需要 | 不变 | 高 | 低 | 无 | 11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0 | | | CVE-2017-3595 | Oracle WebCenter Sites | 高级 UI | HTTP | 否 | 7.1 | 网络 | 低 | 低 | 无 | 不变 | 高 | 低 | 无 | 11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0 | | | CVE-2017-3591 | Oracle WebCenter Sites | Catalog Mover | HTTP | 是 | 7.1 | 网络 | 低 | 无 | 需要 | 不变 | 低 | 高 | 无 | 11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0 | | | CVE-2017-3594 | Oracle WebCenter Sites | 高级 UI | HTTP | 否 | 5.9 | 网络 | 高 | 低 | 无 | 不变 | 高 | 低 | 无 | 11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0 | | | CVE-2017-3597 | Oracle WebCenter Sites | 高级 UI | HTTP | 否 | 5.7 | 网络 | 低 | 低 | 需要 | 不变 | 高 | 无 | 无 | 11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0 | | | CVE-2017-3626 | Oracle GlassFish Server | Java Server Faces | 多个 | 是 | 3.1 | 网络 | 高 | 无 | 需要 | 不变 | 低 | 无 | 无 | 3.1.2 | | | CVE-2017-3598 | Oracle WebCenter Sites | 高级 UI | HTTP | 否 | 3.1 | 网络 | 高 | 低 | 无 | 不变 | 低 | 无 | 无 | 11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0 | | | CVE-2017-3603 | Oracle WebCenter Sites | 高级 UI | HTTP | 否 | 3.1 | 网络 | 高 | 低 | 无 | 不变 | 低 | 无 | 无 | 11.1.1.8.0、12.2.1.0.0、12.2.1.1.0、12.2.1.2.0 | | 下面是解决的其他 CVE: - CVE-2016-0714 修复程序还解决了 CVE-2015-5351、CVE-2016-0706 和 CVE-2016-0763。
- CVE-2016-1181 修复程序还解决了 CVE-2012-1007、CVE-2014-0114 和 CVE-2016-1182。
- CVE-2016-6303 修复程序还解决了 CVE-2016-2177、CVE-2016-2178、CVE-2016-2179、CVE-2016-2180、CVE-2016-2181、CVE-2016-2182、CVE-2016-2183、CVE-2016-6302、CVE-2016-6304、CVE-2016-6305、CVE-2016-6306、CVE-2016-6307、CVE-2016-6308、CVE-2016-6309 和 CVE-2016-7052。
附录 — Oracle Hyperion Oracle Hyperion 执行概要 该重要补丁更新包含 1 个针对 Oracle Hyperion 的新安全修复程序。此漏洞无需身份验证即可远程利用,即,无需用户凭证即可通过网络利用该漏洞。在此可获取此风险表的英语文本形式。 Oracle Hyperion 风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2015-3237 | Oracle Hyperion Essbase | Security (libcurl) | HTTP | 是 | 6.5 | 网络 | 低 | 无 | 无 | 不变 | 低 | 无 | 低 | 11.1.2.2 | | 下面是解决的其他 CVE: - CVE-2015-3237 修复程序还解决了 CVE-2015-3236。
附录 — Oracle Enterprise Manager Grid Control Oracle Enterprise Manager Grid Control 执行概要 该重要补丁更新包含 2 个针对 Oracle Enterprise Manager Grid Control 的新安全修复程序。这 2 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。所有这些修复程序都不适用于仅客户端的安装(即,没有安装 Oracle Enterprise Manager Grid Control 的安装)。在此可获取此风险表的英语文本形式。 Oracle Enterprise Manager 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库和 Oracle 融合中间件部分中所列漏洞的影响。Oracle Enterprise Manager 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle Enterprise Manager 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle Enterprise Manager 产品,Oracle 建议客户将 2017 年 4 月的重要补丁更新应用于 Enterprise Manager 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 2017 年 4 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 2228898.1。 Oracle Enterprise Manager Grid Control 风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2016-3092 | Enterprise Manager Base Platform | Security Framework | HTTP | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 无 | 无 | 高 | 12.1.0、13.1.0、13.2.0 | | | CVE-2017-3518 | Enterprise Manager Base Platform | Discovery Framework | HTTPS | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 无 | 无 | 高 | 12.1.0、13.1.0、13.2.0 | | 下面是解决的其他 CVE: - CVE-2017-3518 修复程序还解决了 CVE-2016-2177、CVE-2016-2178、CVE-2016-2179、CVE-2016-2180、CVE-2016-2181、CVE-2016-2182、CVE-2016-2183、CVE-2016-6302、CVE-2016-6303、CVE-2016-6304、CVE-2016-6305、CVE-2016-6306、CVE-2016-6307、CVE-2016-6308、CVE-2016-6309 和 CVE-2016-7052。
附录 — Oracle 应用 Oracle E-Business Suite 执行概要 该重要补丁更新包含 11 个针对 Oracle E-Business Suite 的新安全修复程序。其中 10 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。 Oracle E-Business Suite 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库和 Oracle 融合中间件部分中所列漏洞的影响。Oracle E-Business Suite 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle E-Business Suite 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle E-Business Suite 产品,Oracle 建议客户将 2017 年 4 月的重要补丁更新应用于 Oracle E-Business Suite 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 Oracle E-Business Suite 12 版重要补丁更新知识文档(2017 年 4 月)My Oracle Support 说明 2241313.1。
本部分中的某些风险表行被分配了多个漏洞号。在这些情况下,其他的 CVE 列在风险表下面,以提高可读性。每组 CVE 标识符共享风险表中列出的相同的描述、漏洞类型、组件、子组件和受影响的版本,但会出现在子组件的不同代码段中。 Oracle E-Business Suite 风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2017-3549 | Oracle Scripting | 脚本管理 | HTTP | 是 | 9.1 | 网络 | 低 | 无 | 无 | 不变 | 高 | 高 | 无 | 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6 | | | CVE-2017-3393 | Oracle Advanced Outbound Telephony | 交互历史记录 | HTTP | 是 | 8.2 | 网络 | 低 | 无 | 需要 | 改变 | 高 | 低 | 无 | 12.2.3、12.2.4、12.2.5、12.2.6 | | | CVE-2017-3550 | Oracle Customer Interaction History | Admin Console | HTTP | 是 | 8.2 | 网络 | 低 | 无 | 需要 | 改变 | 高 | 低 | 无 | 12.1.1、12.1.2、12.1.3 | | | CVE-2017-3337 | Oracle Marketing | 用户界面 | HTTP | 是 | 8.2 | 网络 | 低 | 无 | 需要 | 改变 | 高 | 低 | 无 | 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6 | | | CVE-2017-3432 | Oracle One-to-One Fulfillment | Audience 工作台 | HTTP | 是 | 8.2 | 网络 | 低 | 无 | 需要 | 改变 | 高 | 低 | 无 | 12.1.1、12.1.2、12.1.3 | | | CVE-2017-3557 | Oracle One-to-One Fulfillment | 打印服务器 | HTTP | 是 | 8.2 | 网络 | 低 | 无 | 需要 | 改变 | 高 | 低 | 无 | 12.1.3、12.2.3、12.2.4、12.2.5、12.2.6 | | | CVE-2017-3555 | Oracle iReceivables | 自助注册 | HTTP | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 无 | 无 | 高 | 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6 | | | CVE-2017-3592 | Oracle Payables | Self Service Manager | HTTP | 否 | 6.5 | 网络 | 低 | 高 | 无 | 不变 | 高 | 高 | 无 | 12.1.1、12.1.2、12.1.3、12.2.3、12.2.4、12.2.5、12.2.6 | | | CVE-2017-3528 | Oracle Applications Framework | 弹出窗口(值列表、日期选择器等) | HTTP | 是 | 4.7 | 网络 | 低 | 无 | 需要 | 改变 | 无 | 低 | 无 | 12.1.3、12.2.3、12.2.4、12.2.5、12.2.6 | | | CVE-2017-3515 | Oracle User Management | 用户名/密码管理 | HTTP | 是 | 4.7 | 网络 | 低 | 无 | 需要 | 改变 | 无 | 低 | 无 | 12.1.3、12.2.3、12.2.4、12.2.5、12.2.6 | | | CVE-2017-3556 | Oracle Application Object Library | 文件管理 | HTTP | 是 | 3.7 | 网络 | 高 | 无 | 无 | 不变 | 低 | 无 | 无 | 12.1.3、12.2.3、12.2.4、12.2.5、12.2.6 | | 下面是解决的其他 CVE: - CVE-2017-3337 修复程序还解决了 CVE-2017-3342、CVE-2017-3345、CVE-2017-3347、CVE-2017-3355 和 CVE-2017-3356。
- CVE-2017-3432 修复程序还解决了 CVE-2017-3434。
Oracle Supply Chain 产品套件执行概要 该重要补丁更新包含 1 个针对 Oracle Supply Chain 产品套件的新安全修复程序。此漏洞必需身份验证才可远程利用,即,没有用户凭证就不能通过网络利用该漏洞。在此可获取此风险表的英语文本形式。 Oracle Supply Chain 产品套件风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2017-3530 | Oracle Transportation Manager | Security | HTTP | 否 | 6.1 | 网络 | 低 | 高 | 需要 | 不变 | 高 | 高 | 无 | 6.2、6.3.0、6.3.1、6.3.2、6.3.3、6.3.4、6.3.5、6.3.6、6.3.7、6.4.0、6.4.1、6.4.2 | |
Oracle PeopleSoft 产品执行概要 该重要补丁更新包含 16 个针对 Oracle PeopleSoft 产品的新安全修复程序。其中 8 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。 Oracle PeopleSoft 产品风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2017-3519 | PeopleSoft Enterprise PeopleTools | 安全 | HTTP | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 高 | 无 | 无 | 8.54、8.55 | | | CVE-2017-3547 | PeopleSoft Enterprise PeopleTools | 多通道框架 | HTTP | 是 | 7.4 | 网络 | 低 | 无 | 需要 | 改变 | 无 | 高 | 无 | 8.54、8.55 | | | CVE-2017-3577 | PeopleSoft Enterprise CS Campus Community | 框架 | HTTP | 否 | 6.5 | 网络 | 低 | 高 | 无 | 不变 | 高 | 高 | 无 | 9.2 | | | CVE-2017-3570 | PeopleSoft Enterprise FSCM | 电子结算管理 | HTTP | 否 | 6.5 | 网络 | 低 | 高 | 无 | 不变 | 高 | 高 | 无 | 9.1 | | | CVE-2017-3520 | PeopleSoft Enterprise PeopleTools | 流式核心 | HTTP | 是 | 6.5 | 网络 | 低 | 无 | 需要 | 不变 | 无 | 高 | 无 | 8.54、8.55 | | | CVE-2017-3548 | PeopleSoft Enterprise PeopleTools | 集成代理 | HTTP | 是 | 6.5 | 网络 | 低 | 无 | 无 | 不变 | 低 | 无 | 低 | 8.54、8.55 | | | CVE-2017-3546 | PeopleSoft Enterprise PeopleTools | 多通道框架 | HTTP | 是 | 6.5 | 网络 | 低 | 无 | 无 | 不变 | 低 | 低 | 无 | 8.54、8.55 | | | CVE-2014-3596 | PeopleSoft Enterprise PeopleTools | 门户 | HTTP | 是 | 6.5 | 网络 | 低 | 无 | 无 | 不变 | 低 | 低 | 无 | 8.54、8.55 | | | CVE-2017-3521 | PeopleSoft Enterprise SCM Purchasing | 供应商注册 | HTTP | 否 | 6.5 | 网络 | 低 | 高 | 无 | 不变 | 高 | 高 | 无 | 9.2 | | | CVE-2017-3525 | PeopleSoft Enterprise SCM Service Procurement | 可用性 | HTTP | 否 | 6.5 | 网络 | 低 | 高 | 无 | 不变 | 高 | 高 | 无 | 9.2 | | | CVE-2017-3524 | PeopleSoft Enterprise SCM Strategic Sourcing | 投标人注册 | HTTP | 否 | 6.5 | 网络 | 低 | 高 | 无 | 不变 | 高 | 高 | 无 | 9.2 | | | CVE-2017-3571 | PeopleSoft Enterprise SCM eBill Payment | 安全 | HTTP | 否 | 6.5 | 网络 | 低 | 高 | 无 | 不变 | 高 | 高 | 无 | 9.2 | | | CVE-2017-3522 | PeopleSoft Enterprise SCM eSupplier Connection | 供应商 | HTTP | 否 | 6.5 | 网络 | 低 | 高 | 无 | 不变 | 高 | 高 | 无 | 9.2 | | | CVE-2017-3502 | PeopleSoft Enterprise FIN Receivables | 应收账款 | HTTP | 是 | 5.3 | 网络 | 低 | 无 | 无 | 不变 | 无 | 低 | 无 | 9.2 | | | CVE-2017-3527 | PeopleSoft Enterprise PeopleTools | 流式核心 | HTTP | 是 | 5.3 | 网络 | 低 | 无 | 无 | 不变 | 低 | 无 | 无 | 8.54、8.55 | | | CVE-2017-3536 | PeopleSoft Enterprise PeopleTools | 安全 | HTTP | 否 | 4.6 | 网络 | 低 | 低 | 需要 | 不变 | 低 | 低 | 无 | 8.54、8.55 | |
Oracle JD Edwards 产品执行概要 该重要补丁更新包含 1 个针对 Oracle JD Edwards 产品的新安全修复程序。此漏洞无需身份验证即可远程利用,即,无需用户凭证即可通过网络利用该漏洞。在此可获取此风险表的英语文本形式。 Oracle JD Edwards 产品风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2017-3517 | JD Edwards EnterpriseOne Tools | Web 运行时 SEC | HTTP | 是 | 6.5 | 网络 | 低 | 无 | 无 | 不变 | 低 | 无 | 低 | 9.2 | |
Oracle Siebel CRM 执行概要 该重要补丁更新包含 1 个针对 Oracle Siebel CRM 的新安全修复程序。此漏洞无需身份验证即可远程利用,即,无需用户凭证即可通过网络利用该漏洞。在此可获取此风险表的英语文本形式。 Oracle Siebel CRM 风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2017-5638 | Siebel 应用 — E-Billing | 安全 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 6.1、6.2、7.0、7.1 | |
Oracle 商务解决方案执行概要 该重要补丁更新包含 3 个针对 Oracle 商务解决方案的新安全修复程序。所有这些漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。 Oracle 商务解决方案风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2017-3572 | Oracle Commerce Guided Search / Oracle Commerce Experience Manager | MDEX | HTTP | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 无 | 无 | 高 | 6.2.2、6.3.0、6.4.1.2、6.5.0、6.5.1、6.5.2 | | | CVE-2016-6304 | Oracle Commerce Guided Search / Oracle Commerce Experience Manager | MDEX | HTTPS | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 无 | 无 | 高 | 6.2.2、6.3.0、6.4.1.2、6.5.0、6.5.1、6.5.2 | | | CVE-2016-2107 | Oracle Commerce Guided Search / Oracle Commerce Experience Manager | Platform Services | HTTPS | 是 | 5.9 | 网络 | 高 | 无 | 无 | 不变 | 高 | 无 | 无 | 6.1.4、11.0、11.1、11.2 | | 下面是解决的其他 CVE: - CVE-2016-2107 修复程序还解决了 CVE-2016-2105、CVE-2016-2106、CVE-2016-2109 和 CVE-2016-2176。
- CVE-2016-6304 修复程序还解决了 CVE-2016-2177、CVE-2016-2178、CVE-2016-2179、CVE-2016-2180、CVE-2016-2181、CVE-2016-2182、CVE-2016-2183、CVE-2016-6302、CVE-2016-6303、CVE-2016-6306、CVE-2016-7052、CVE-2016-7055、CVE-2017-3731 和 CVE-2017-3732。
附录 — Oracle 通信应用 Oracle 通信应用执行概要 该重要补丁更新包含 11 个针对 Oracle 通信应用的新安全修复程序。其中 9 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。 Oracle 通信应用风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2017-5638 | Oracle Communications Policy Management | 安全 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 12.2 | | | CVE-2016-0729 | Oracle Communications ASAP | 安全 (Xerces) | HTTP | 是 | 9.8 | 网络 | 低 | 无 | 无 | 不变 | 高 | 高 | 高 | 7.0、7.2、7.3 | | | CVE-2016-0635 | Oracle Communications Network Integrity | 安全 (Spring) | HTTP | 否 | 8.8 | 网络 | 低 | 低 | 无 | 不变 | 高 | 高 | 高 | 7.3.0、7.2.4 | | | CVE-2016-3092 | Oracle Communications Service Broker 集成系统版 | 安装 (Apache Commons FileUpload) | HTTP | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 无 | 无 | 高 | 6.0、6.1 | | | CVE-2013-5209 | Oracle Communications Session Border Controller | 系统管理 (SCTP) | SCTP | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 高 | 无 | 无 | SCZ7.2.0、SCZ7.3.0、SCZ7.4.0 | | | CVE-2016-6304 | Oracle Communications Session Border Controller | 路由 (OpenSSL) | TLS | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 无 | 无 | 高 | SCZ7.2.0、SCZ7.3.0、SCZ7.4.0 | | | CVE-2012-0920 | Oracle Communications Session Border Controller | 系统管理 (Dropbear) | SSH | 否 | 7.1 | 网络 | 高 | 低 | 需要 | 不变 | 高 | 高 | 高 | SCZ7.2.0、SCZ7.3.0、SCZ7.4.0 | | | CVE-2017-3732 | Oracle Communications Security Gateway | 路由 (OpenSSL) | TLS | 是 | 5.9 | 网络 | 高 | 无 | 无 | 不变 | 高 | 无 | 无 | 3.0.0 | | | CVE-2013-2566 | Oracle Communications Session Border Controller | 系统管理 | SSH | 是 | 5.9 | 网络 | 高 | 无 | 无 | 不变 | 高 | 无 | 无 | SCZ7.3.0、SCZ7.4.0 | | | CVE-2017-3470 | Oracle Communications Security Gateway | 网络 | ICMP Ping | 是 | 5.3 | 网络 | 低 | 无 | 无 | 不变 | 无 | 无 | 低 | 3.0.0 | | | CVE-2015-0204 | Oracle Communications Session Border Controller | 路由 | TLS | 是 | 5.3 | 网络 | 低 | 无 | 无 | 不变 | 无 | 低 | 无 | SCZ7.2.0、
SCZ7.3.0、SCZ7.4.0 | | 下面是解决的其他 CVE: - CVE-2016-6304 修复程序还解决了 CVE-2014-3571、CVE-2015-0286、CVE-2015-1791、CVE-2015-3195 和 CVE-2016-2107。
- CVE-2017-3732 修复程序还解决了 CVE-2014-3571、CVE-2015-1788、CVE-2015-1789、CVE-2015-1790、CVE-2015-1791 和 CVE-2015-1792。
附录 — Oracle 金融服务应用 Oracle 金融服务应用执行概要 该重要补丁更新包含 47 个针对 Oracle 金融服务应用的新安全修复程序。其中 25 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。 Oracle 金融服务应用风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2017-5638 | Oracle FLEXCUBE Private Banking | 核心 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 12.0.1、12.0.2、12.0.3、12.1.0 | | | CVE-2017-5638 | Oracle Financial Services Analytical Applications Infrastructure | 核心 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 7.3.3、7.3.4、7.3.5 | | | CVE-2017-5638 | Oracle Financial Services Asset Liability Management | 核心 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 6.0.0、6.1.0、6.1.1、8.0.1、8.0.2、8.0.3、8.0.4 | | | CVE-2017-5638 | Oracle Financial Services Basel Regulatory Capital Basic | 核心 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 6.1.2、6.1.3、8.0.2、8.0.3 | | | CVE-2017-5638 | Oracle Financial Services Basel Regulatory Capital Internal Ratings Based Approach | 核心 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 6.1.2、6.1.3、8.0.2、8.0.3 | | | CVE-2017-5638 | Oracle Financial Services Data Foundation | 核心 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 8.0.1、8.0.2、8.0.3、8.0.4 | | | CVE-2017-5638 | Oracle Financial Services Data Integration Hub | 核心 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 8.0.1、8.0.2、8.0.3、8.0.4 | | | CVE-2017-5638 | Oracle Financial Services Enterprise Financial Performance Analytics | 核心 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 8.0.0 至 8.0.4 | | | CVE-2017-5638 | Oracle Financial Services Funds Transfer Pricing | 核心 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 6.0.0、6.1.0、6.1.1、8.0.1、8.0.2、8.0.3、8.0.4 | | | CVE-2017-5638 | Oracle Financial Services Hedge Management and IFRS Valuations | 核心 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 6.1.1、8.0.1、8.0.2、8.0.3、8.0.4 | | | CVE-2017-5638 | Oracle Financial Services Institutional Performance Analytics | 核心 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 8.0.0 至 8.0.4 | | | CVE-2017-5638 | Oracle Financial Services Liquidity Risk Management | 核心 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 8.0.1、8.0.2、8.0.4 | | | CVE-2017-5638 | Oracle Financial Services Loan Loss Forecasting and Provisioning | 核心 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 1.5.0、1.5.1、8.0.1、8.0.2、8.0.3、8.0.4 | | | CVE-2017-5638 | Oracle Financial Services Pricing Management/Transfer Pricing Component | 核心 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 8.0.0 至 8.0.4 | | | CVE-2017-5638 | Oracle Financial Services Profitability Management | 核心 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 6.0.0、6.1.0、6.1.1、8.0.1、8.0.2、8.0.3、8.0.4 | | | CVE-2017-5638 | Oracle Financial Services Reconciliation Framework | 核心 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 8.0.0、8.0.1、8.0.2 | | | CVE-2017-5638 | Oracle Financial Services Retail Customer Analytics | 核心 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 8.0.0 至 8.0.3 | | | CVE-2017-5638 | Oracle Financial Services Retail Performance Analytics | 核心 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 8.0.0 至 8.0.4 | | | CVE-2017-5638 | Oracle Insurance Data Foundation | 核心 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 8.0.1、8.0.2、8.0.3、8.0.4 | | | CVE-2016-0635 | Oracle FLEXCUBE Private Banking | 核心 (Spring Framework) | HTTP | 否 | 8.8 | 网络 | 低 | 低 | 无 | 不变 | 高 | 高 | 高 | 12.0.1、12.0.2、12.0.3、12.1.0 | | | CVE-2017-3493 | Oracle FLEXCUBE Enterprise Limits and Collateral Management | 基础设施 | HTTP | 否 | 8.5 | 网络 | 低 | 低 | 无 | 改变 | 高 | 无 | 低 | 12.0.0、12.1.0 | | | CVE-2017-3472 | Oracle FLEXCUBE Private Banking | 项目组合管理 | HTTP | 否 | 8.1 | 网络 | 低 | 低 | 无 | 不变 | 高 | 高 | 无 | 2.0.0、2.0.1、2.2.0.1、12.0.1 | | | CVE-2017-3476 | Oracle FLEXCUBE Private Banking | 杂项 | HTTP | 否 | 7.1 | 网络 | 低 | 低 | 无 | 不变 | 高 | 低 | 无 | 2.0.0、2.0.1、2.2.0.1、12.0.1 | | | CVE-2017-3485 | Oracle FLEXCUBE Universal Banking | 基础设施 | HTTP | 否 | 6.8 | 网络 | 高 | 低 | 无 | 不变 | 无 | 高 | 高 | 11.3.0、11.4.0、12.0.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0 | | | CVE-2017-3491 | Oracle FLEXCUBE Enterprise Limits and Collateral Management | 限额和抵押品 | HTTP | 否 | 6.5 | 网络 | 低 | 低 | 无 | 不变 | 高 | 无 | 无 | 12.0.1、12.1.0 | | | CVE-2017-3488 | Oracle FLEXCUBE Investor Servicing | 单位信托 | HTTP | 否 | 6.5 | 网络 | 低 | 低 | 无 | 不变 | 无 | 高 | 无 | 12.0.1、12.0.2、12.0.3、12.0.4、12.1.0、12.2.0、12.3.0 | | | CVE-2017-3534 | Oracle FLEXCUBE Universal Banking | 基础设施 | HTTP | 否 | 6.5 | 网络 | 低 | 低 | 无 | 不变 | 高 | 无 | 无 | 12.0.1、12.0.2、12.0.3、12.1.0、12.2.0、12.3.0 | | | CVE-2017-3496 | Oracle FLEXCUBE Enterprise Limits and Collateral Management | 基础设施 | HTTP | 是 | 6.1 | 网络 | 低 | 无 | 需要 | 改变 | 低 | 低 | 无 | 12.0.0、12.1.0 | | | CVE-2017-3492 | Oracle FLEXCUBE Enterprise Limits and Collateral Management | 基础设施 | HTTP | 否 | 5.4 | 网络 | 低 | 低 | 无 | 不变 | 低 | 低 | 无 | 12.0.0、12.1.0 | | | CVE-2017-3484 | Oracle FLEXCUBE Enterprise Limits and Collateral Management | 限额和抵押品 | HTTP | 否 | 5.4 | 网络 | 低 | 低 | 无 | 不变 | 低 | 低 | 无 | 12.0.0、12.1.0 | | | CVE-2017-3489 | Oracle FLEXCUBE Investor Servicing | 安全管理系统 | HTTP | 否 | 5.4 | 网络 | 低 | 低 | 无 | 不变 | 低 | 低 | 无 | 12.0.1、12.0.2、12.0.3、12.0.4、12.1.0、12.2.0、12.3.0 | | | CVE-2017-3288 | Oracle FLEXCUBE Investor Servicing | 单位信托 | HTTP | 否 | 5.4 | 网络 | 低 | 低 | 无 | 不变 | 低 | 低 | 无 | 12.0.1、12.0.2、12.0.3、12.0.4、12.1.0、12.2.0、12.3.0 | | | CVE-2017-3478 | Oracle FLEXCUBE Private Banking | 杂项 | HTTP | 否 | 5.4 | 网络 | 低 | 低 | 无 | 不变 | 低 | 低 | 无 | 12.0.0、12.1.0 | | | CVE-2017-3479 | Oracle FLEXCUBE Private Banking | 杂项 | HTTP | 否 | 5.4 | 网络 | 低 | 低 | 无 | 不变 | 无 | 低 | 低 | 2.0.0、2.0.1、2.2.0.1、12.0.1 | | | CVE-2017-3482 | Oracle FLEXCUBE Universal Banking | 基础设施 | HTTP | 否 | 5.4 | 网络 | 低 | 低 | 需要 | 改变 | 低 | 低 | 无 | 12.0.0、12.0.1、12.0.2、12.0.3、12.1.0、12.2.0、12.3.0 | | | CVE-2017-3475 | Oracle FLEXCUBE Private Banking | 杂项 | HTTP | 否 | 5.0 | 网络 | 低 | 低 | 无 | 改变 | 无 | 无 | 低 | 2.0.0、2.0.1、2.2.0.1、12.0.1 | | | CVE-2017-3495 | Oracle FLEXCUBE Direct Banking | 登录前 | HTTP | 是 | 4.7 | 网络 | 低 | 无 | 需要 | 改变 | 低 | 无 | 无 | 12.0.2、12.0.3 | | | CVE-2017-3471 | Oracle FLEXCUBE Private Banking | 杂项 | HTTP | 是 | 4.7 | 网络 | 低 | 无 | 需要 | 改变 | 无 | 低 | 无 | 12.0.0、12.1.0 | | | CVE-2017-3480 | Oracle FLEXCUBE Universal Banking | 基础设施 | HTTP | 是 | 4.7 | 网络 | 低 | 无 | 需要 | 改变 | 低 | 无 | 无 | 11.3.0、11.4.0、12.0.1 | | | CVE-2017-3535 | Oracle FLEXCUBE Universal Banking | 基础设施 | HTTP | 是 | 4.7 | 网络 | 低 | 无 | 需要 | 改变 | 低 | 无 | 无 | 11.3.0、11.4.0、12.0.1、12.0.2、12.0.3 | | | CVE-2017-3494 | Oracle FLEXCUBE Universal Banking | 综合柜员 | HTTP | 是 | 4.7 | 网络 | 低 | 无 | 需要 | 改变 | 低 | 无 | 无 | 11.3.0、11.4.0、12.0.1、12.0.2、12.0.3 | | | CVE-2017-3483 | Oracle FLEXCUBE Enterprise Limits and Collateral Management | 限额和抵押品 | 无 | 否 | 4.4 | 本地 | 低 | 高 | 无 | 不变 | 高 | 无 | 无 | 12.0.0、12.1.0 | | | CVE-2017-3473 | Oracle FLEXCUBE Private Banking | 杂项 | HTTP | 否 | 4.3 | 网络 | 低 | 低 | 无 | 不变 | 低 | 无 | 无 | 2.0.0、2.0.1、2.2.0.1、12.0.1 | | | CVE-2017-3481 | Oracle FLEXCUBE Universal Banking | 基础设施 | HTTP | 否 | 4.3 | 网络 | 低 | 低 | 无 | 不变 | 无 | 无 | 低 | 11.3.0、11.4.0、12.0.1 | | | CVE-2017-3477 | Oracle FLEXCUBE Private Banking | 杂项 | HTTP | 否 | 4.2 | 网络 | 高 | 低 | 无 | 不变 | 低 | 低 | 无 | 12.0.0、12.1.0 | | | CVE-2017-3490 | Oracle FLEXCUBE Enterprise Limits and Collateral Management | 限额和抵押品 | HTTP | 否 | 3.1 | 网络 | 高 | 低 | 无 | 不变 | 低 | 无 | 无 | 12.0.0、12.1.0 | | | CVE-2017-3487 | Oracle FLEXCUBE Investor Servicing | 单位信托 | HTTP | 否 | 3.1 | 网络 | 高 | 低 | 无 | 不变 | 无 | 低 | 无 | 12.0.1、12.0.2、12.0.3、12.0.4、12.1.0、12.2.0、12.3.0 | |
附录 — Oracle 健康科学应用 Oracle 健康科学应用执行概要 该重要补丁更新包含 1 个针对 Oracle 健康科学应用的新安全修复程序。此漏洞无需身份验证即可远程利用,即,无需用户凭证即可通过网络利用该漏洞。在此可获取此风险表的英语文本形式。 Oracle 健康科学应用风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2016-3092 | Oracle 医疗卫生个人主索引 | Cleanser、Profiler (Apache Commons FileUpload) | HTTP | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 无 | 无 | 高 | 2.0.1.x 及之前的版本、3.0.0.x 和 4.0.1.x | |
附录 — Oracle 酒店管理应用 Oracle 酒店管理应用执行概要 该重要补丁更新包含 6 个针对 Oracle 酒店管理应用的新安全修复程序。其中 1 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。 Oracle 酒店管理应用风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2017-3574 | Oracle Hospitality OPERA 5 Property Services | OPERA 许可代码配置 | HTTP | 否 | 7.1 | 网络 | 低 | 低 | 无 | 不变 | 高 | 低 | 无 | 5.4.0.x、5.4.1.x、5.4.2.x、5.4.3.x、5.5.0.x、5.5.1.x | | | CVE-2017-3568 | Oracle Hospitality OPERA 5 Property Services | OPERA 打印和登录 | 无 | 否 | 6.5 | 本地 | 高 | 无 | 需要 | 不变 | 高 | 高 | 低 | 5.4.0.x、5.4.1.x、5.4.2.x、5.4.3.x、5.5.0.x、5.5.1.x | | | CVE-2017-3573 | Oracle Hospitality OPERA 5 Property Services | OPERA 打印 | HTTP | 是 | 6.1 | 网络 | 低 | 无 | 需要 | 改变 | 低 | 低 | 无 | 5.4.0.x、5.4.1.x、5.4.2.x、5.4.3.x、5.5.0.x、5.5.1.x | | | CVE-2017-3569 | Oracle Hospitality OPERA 5 Property Services | OPERA 业务事件 | HTTP | 否 | 5.4 | 网络 | 低 | 低 | 无 | 不变 | 低 | 低 | 无 | 5.4.0.x、5.4.1.x、5.4.2.x、5.4.3.x、5.5.0.x、5.5.1.x | | | CVE-2017-3552 | Oracle Hospitality OPERA 5 Property Services | OPERA 房间图像/图片设置 | HTTP | 否 | 4.3 | 网络 | 低 | 低 | 无 | 不变 | 低 | 无 | 无 | 5.4.0.x、5.4.1.x、5.4.2.x、5.4.3.x、5.5.0.x、5.5.1.x | | | CVE-2017-3560 | Oracle Hospitality OPERA 5 Property Services | OXI 接口 | HTTP | 否 | 4.3 | 网络 | 低 | 低 | 无 | 不变 | 低 | 无 | 无 | 5.4.0.x、5.4.1.x、5.4.2.x、5.4.3.x、5.5.0.x、5.5.1.x | |
附录 — Oracle 保险应用 Oracle 保险应用执行概要 该重要补丁更新包含 1 个针对 Oracle 保险应用的新安全修复程序。此漏洞必需身份验证才可远程利用,即,没有用户凭证就不能通过网络利用该漏洞。在此可获取此风险表的英语文本形式。 Oracle 保险应用风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2015-7940 | Oracle Insurance Istream | IStream Publisher (Bouncy Castle) | HTTP | 否 | 6.5 | 网络 | 低 | 低 | 无 | 不变 | 高 | 无 | 无 | 4.3.2 及早期版本 | |
附录 — Oracle 零售应用 Oracle 零售应用执行概要 该重要补丁更新包含 39 个针对 Oracle 零售应用的新安全修复程序。其中 32 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。 Oracle 零售应用风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2017-5638 | Oracle 零售 XBRi 防损管理 | 内部运营 (Struts 2) | HTTP | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 10.0.1、10.5.0、10.6.0、10.7.0、10.8.0、10.8.1 | | | CVE-2016-0635 | Oracle 零售后端办公 | 安全 | HTTP | 否 | 8.8 | 网络 | 低 | 低 | 无 | 不变 | 高 | 高 | 高 | 14.1 | | | CVE-2016-0635 | Oracle 零售发票核对 | 安全 | HTTP | 否 | 8.8 | 网络 | 低 | 低 | 无 | 不变 | 高 | 高 | 高 | 13.2、14.0、14.1 | | | CVE-2016-0635 | Oracle 零售定点服务 | 基础设施 | HTTP | 否 | 8.8 | 网络 | 低 | 低 | 无 | 不变 | 高 | 高 | 高 | 14.1.3 | | | CVE-2016-0635 | Oracle 零售定点服务 | 移动 POS | HTTP | 否 | 8.8 | 网络 | 低 | 低 | 无 | 不变 | 高 | 高 | 高 | 14.1.3 | | | CVE-2016-0635 | Oracle 零售退货管理 | 安全 | HTTP | 否 | 8.8 | 网络 | 低 | 低 | 无 | 不变 | 高 | 高 | 高 | 14.1 | | | CVE-2016-3506 | MICROS Lucas | 安全 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 2.9.5.1、2.9.5.2、2.9.5.3、2.9.5.4、2.9.5.5 | | | CVE-2016-3506 | MICROS Relate CRM Software | Web 服务 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 10.0、10.5、10.8、11.0、11.1、11.4、15.0 | | | CVE-2016-3506 | MICROS XBR | 数据库 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 10.0.1、10.5.0、10.6.0、10.7.7、10.8.0、10.8.1 | | | CVE-2016-3506 | MICROS Xstore Payment | 安全 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 5.5、6.0、6.5、7.0、7.1、15.0、16.0 | | | CVE-2016-3506 | Oracle 零售高级库存计划 | 安装 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 14.1、15.0 | | | CVE-2016-3506 | Oracle Retail Advanced Science Engine | 常规 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 14.1 | | | CVE-2016-3506 | Oracle Retail Analytic Parameter Calculator - RO | 数据接口 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 15.0 | | | CVE-2016-3506 | Oracle Retail Analytic Parameter Calculator - RO | 安装/配置 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 15.0 | | | CVE-2016-3506 | Oracle Retail Analytics | 安装 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 14.0、14.1、15.0、16.0 | | | CVE-2016-3506 | Oracle 零售品类计划 | 安装 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 14.1.3、15.0.1、16.0.0 | | | CVE-2016-3506 | Oracle 零售品类管理 | 安装 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 13.2、13.3、14.0、14.1 | | | CVE-2016-3506 | Oracle Retail Category Management Planning & Optimization | 安装 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 15.0 | | | CVE-2016-3506 | Oracle Retail Customer Insights | 安装程序 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 15.0 | | | CVE-2016-2510 | Oracle Retail Customer Management and Segmentation Foundation | Web 服务 | HTTPS | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 15.0 | | | CVE-2016-3506 | Oracle 零售需求预测 | 安装 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 14.1.3、15.0.2 | | | CVE-2016-3506 | Oracle 零售单品优化 | 安装 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 14.1.3、15.0.2 | | | CVE-2016-3506 | Oracle 零售宏观空间优化 | 安装 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 15.0.2 | | | CVE-2016-3506 | Oracle 零售商品财务计划 | 安装 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 14.1.3、15.0.2 | | | CVE-2016-3506 | Oracle Retail Merchandising Insights | 安装程序 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 15.0 | | | CVE-2016-3506 | Oracle 零售订单代理 | 订单代理基础 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 5.1、5.2、15.0、16.0 | | | CVE-2016-3506 | Oracle Retail Predictive Application Server | 安装程序 — 服务器 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 13.1、13.2、13.3、13.4、14.0、14.1、15.0 | | | CVE-2016-3506 | Oracle 零售定期价格优化 | 安装 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 14.1.3、15.0.2 | | | CVE-2016-3506 | Oracle 零售补货优化 | 安装 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 14.1.3、15.0.2 | | | CVE-2016-3506 | Oracle 零售尺码优化 | 安装 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 14.1.3、15.0.2 | | | CVE-2016-3506 | Oracle 零售商店库存 | 安装 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 14.1、15.0、16.0 | | | CVE-2016-3506 | Oracle 零售终端系统 | 销售点 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 5.5、6.0、6.5、7.1、15.0 | | | CVE-2016-3506 | Oracle 零售终端系统 | 销售点 | Oracle Net | 是 | 8.1 | 网络 | 高 | 无 | 无 | 不变 | 高 | 高 | 高 | 5.5、6.0、6.5、7.0、7.1、15.0、16.0 | | | CVE-2016-1181 | Oracle 零售发票核对 | 安全 | 无 | 否 | 7.8 | 本地 | 低 | 低 | 无 | 不变 | 高 | 高 | 高 | 12.0、13.0、13.1、13.2、14.0、14.1 | | | CVE-2017-3254 | Oracle 零售发票核对 | 安全 | HTTP | 是 | 7.6 | 网络 | 低 | 无 | 需要 | 不变 | 高 | 低 | 低 | 12.0、13.0 | | | CVE-2015-7940 | Oracle 零售业开放式商务平台 | 框架 | HTTP | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 高 | 无 | 无 | 4.0、5.0、5.1、5.3、6.0 | | | CVE-2015-0204 | Oracle Retail Predictive Application Server | RPAS 服务器 | SSL/TLS | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 无 | 无 | 高 | 13.3.3、13.4.3、14.0.3、14.1.3、15.0.2、16.0.0 | | | CVE-2017-3532 | Oracle 零售仓库管理系统 | 安全 | HTTP | 是 | 6.1 | 网络 | 低 | 无 | 需要 | 改变 | 低 | 低 | 无 | 13.2、14.0、15.0 | | | CVE-2017-3451 | Oracle 零售业开放式商务平台 | Web | HTTP | 否 | 5.4 | 网络 | 低 | 低 | 需要 | 改变 | 低 | 低 | 无 | 4.0、5.0、5.1、5.3、6.0、6.1、15.0、16.0 | | 下面是解决的其他 CVE: - CVE-2015-0204 修复程序还解决了 CVE-2014-3571。
- CVE-2016-1181 修复程序还解决了 CVE-2014-0114 和 CVE-2016-1182。
- CVE-2017-5638 修复程序还解决了 CVE-2016-4436。
附录 — Oracle 公用事业应用 Oracle 公用事业应用执行概要 该重要补丁更新包含 7 个针对 Oracle 公用事业应用的新安全修复程序。所有这些漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。 Oracle 公用事业应用风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2016-5019 | Oracle 公用事业客户自助服务 | 打包 (Apache Trinidad) | HTTP | 是 | 9.8 | 网络 | 低 | 无 | 无 | 不变 | 高 | 高 | 高 | 2.1.0.2.0 | | | CVE-2014-0114 | Oracle 公用事业框架 | 系统范围 | HTTP | 是 | 8.3 | 网络 | 低 | 无 | 无 | 改变 | 低 | 低 | 低 | 4.1.0.1.0、4.1.0.2.0、4.2.0.1.0、4.2.0.2.0、4.2.0.3.0、4.3.0.1.0、4.3.0.2.0、4.3.0.3.0 | | | CVE-2016-3092 | Oracle 公用事业框架 | 文件上载和附件 (Apache Commons FileUpload) | HTTP | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 无 | 无 | 高 | 2.2.0.0.0、4.1.0.1.0、4.1.0.2.0、4.2.0.1.0、4.2.0.2.0、4.2.0.3.0、4.3.0.1.0、4.3.0.2.0、4.3.0.3.0 | | | CVE-2016-3674 | Oracle 公用事业框架 | UI、批处理和 XAI (Xstream) | HTTP | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 高 | 无 | 无 | 2.2.0.0.0、4.1.0.1.0、4.1.0.2.0、4.2.0.1.0、4.2.0.2.0、4.2.0.3.0、4.3.0.1.0、4.3.0.2.0、4.3.0.3.0 | | | CVE-2016-3092 | Oracle 公用事业作业和资产管理 | 集成 (Apache Commons FileUpload) | HTTP | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 无 | 无 | 高 | 1.9.1.2.11 | | | CVE-2017-3537 | Oracle 实时调度器 | 移动通信平台 | HTTP | 是 | 6.1 | 网络 | 低 | 无 | 需要 | 改变 | 低 | 低 | 无 | 2.2.0.3.13、2.3.0.0、2.3.0.1 | | | CVE-2012-5881 | Oracle 公用事业框架 | UI(YUI JavaScript 框架) | HTTP | 是 | 6.1 | 网络 | 低 | 无 | 需要 | 改变 | 低 | 低 | 无 | 2.2.0.0.0、4.1.0.1.0、4.1.0.2.0、4.2.0.1.0、4.2.0.2.0、4.2.0.3.0、4.3.0.1.0、4.3.0.2.0、4.3.0.3.0 | | 下面是解决的其他 CVE: - CVE-2012-5881 修复程序还解决了 CVE-2012-5882 和 CVE-2012-5883。
附录 — Oracle Primavera 产品套件 Oracle Primavera 产品套件执行概要 该重要补丁更新包含 7 个针对 Oracle Primavera 产品套件的新安全修复程序。其中 4 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。 Oracle Primavera 产品套件风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2017-3503 | Primavera P6 企业项目组合管理 | Web 访问 (Apache Commons BeanUtils) | HTTP | 否 | 9.9 | 网络 | 低 | 低 | 无 | 改变 | 高 | 高 | 高 | 8.3、8.4、15.1、15.2、16.1、16.2 | | | CVE-2017-3508 | Primavera Gateway | Primavera 桌面集成 | HTTP | 否 | 9.1 | 网络 | 低 | 高 | 无 | 改变 | 高 | 高 | 高 | 1.0、1.1、14.2、15.1、15.2、16.1、16.2 | | | CVE-2017-3500 | Primavera Gateway | Primavera 桌面集成 | HTTP | 否 | 8.7 | 网络 | 低 | 高 | 无 | 改变 | 高 | 无 | 高 | 1.0、1.1、14.2、15.1、15.2、16.1、16.2 | | | CVE-2017-3583 | Primavera P6 企业项目组合管理 | Web 访问 | HTTP | 是 | 8.1 | 网络 | 低 | 无 | 需要 | 不变 | 高 | 高 | 无 | 8.3、8.4、15.1、15.2、16.1、16.2 | | | CVE-2017-3579 | Primavera P6 企业项目组合管理 | Web 访问 | HTTP | 是 | 6.1 | 网络 | 低 | 无 | 需要 | 改变 | 低 | 低 | 无 | 8.3、8.4、15.1、15.2、16.1、16.2 | | | CVE-2017-3501 | Primavera Unifier | 平台 | HTTP | 是 | 6.1 | 网络 | 低 | 无 | 需要 | 改变 | 低 | 低 | 无 | 9.13、9.14、10.0、10.1、15.1、15.2 | | | CVE-2017-3732 | Primavera P6 企业项目组合管理 | Project Manager (OpenSSL) | HTTPS | 是 | 5.9 | 网络 | 高 | 无 | 无 | 不变 | 高 | 无 | 无 | 8.3、8.4、15.1、15.2、16.1、16.2 | | 下面是解决的其他 CVE: - CVE-2017-3503 修复程序还解决了 CVE-2014-0114。
附录 — Oracle Java SE Oracle Java SE 执行概要 该重要补丁更新包含 8 个针对 Oracle Java SE 的新安全修复程序。其中 7 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。
以下 CVSS 评分假定运行 Java 小程序或 Java Web Start 应用的用户拥有管理员权限(这是 Windows 上的典型情况)。如果用户未以管理员权限运行(Solaris 和 Linux 的典型情况),则对机密性、完整性以及可用性的对应 CVSS 评分的影响是“低”而非“高”,降低了 CVSS 基本评分。例如,基本评分 9.6 变成 7.1。
用户应使用新的 JDK 和 JRE 8 中的默认 Java 插件和 Java Web Start。
Oracle Java SE 风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2017-3512 | Java SE | AWT | 多个 | 是 | 8.3 | 网络 | 高 | 无 | 需要 | 改变 | 高 | 高 | 高 | Java SE:7u131、8u121 | 参见注释 1 | | CVE-2017-3514 | Java SE | AWT | 多个 | 是 | 8.3 | 网络 | 高 | 无 | 需要 | 改变 | 高 | 高 | 高 | Java SE:6u141、7u131、8u121 | 参见注释 1 | | CVE-2017-3511 | Java SE、Java SE Embedded、JRockit | JCE | 无 | 否 | 7.7 | 本地 | 高 | 无 | 需要 | 改变 | 高 | 高 | 高 | Java SE:7u131、8u121;Java SE Embedded:8u121;JRockit:R28.3.13 | 参见注释 2 | | CVE-2017-3526 | Java SE、Java SE Embedded、JRockit | JAXP | 多个 | 是 | 5.9 | 网络 | 高 | 无 | 无 | 不变 | 无 | 无 | 高 | Java SE:6u141、7u131、8u121;Java SE Embedded:8u121;JRockit:R28.3.13 | 参见注释 2 | | CVE-2017-3509 | Java SE、Java SE Embedded | 网络 | 多个 | 是 | 4.2 | 网络 | 高 | 无 | 需要 | 不变 | 低 | 低 | 无 | Java SE:6u141、7u131、8u121;Java SE Embedded:8u121 | 参见注释 1 | | CVE-2017-3533 | Java SE、Java SE Embedded、JRockit | 网络 | FTP | 是 | 3.7 | 网络 | 高 | 无 | 无 | 不变 | 无 | 低 | 无 | Java SE:6u141、7u131、8u121;Java SE Embedded:8u121;JRockit:R28.3.13 | 参见注释 2 | | CVE-2017-3544 | Java SE、Java SE Embedded、JRockit | 网络 | SMTP | 是 | 3.7 | 网络 | 高 | 无 | 无 | 不变 | 无 | 低 | 无 | Java SE:6u141、7u131、8u121;Java SE Embedded:8u121;JRockit:R28.3.13 | 参见注释 2 | | CVE-2017-3539 | Java SE、Java SE Embedded | 安全 | 多个 | 是 | 3.1 | 网络 | 高 | 无 | 需要 | 不变 | 无 | 低 | 无 | Java SE:6u141、7u131、8u121;Java SE Embedded:8u121 | 参见注释 1 | 注: - 该漏洞适用于加载和运行不受信任的代码(例如,来自互联网的代码)并依赖 Java 沙盒获得安全性的 Java 部署(通常在运行沙盒 Java Web Start 应用或沙盒 Java 小程序的客户端中)。该漏洞不适用于仅加载和运行受信任的代码(例如,管理员安装的代码)的 Java 部署(通常在服务器中)。
- 适用于 Java 的客户端和服务器部署。该漏洞可通过沙盒 Java Web Start 应用和沙盒 Java 小程序利用。还可以通过向指定组件中的 API 提供数据来利用它,无需使用沙盒 Java Web Start 应用或沙盒 Java 小程序,如通过 Web 服务。
附录 — Oracle Sun 系统产品套件 Oracle Sun 系统产品套件执行概要 该重要补丁更新包含 21 个针对 Oracle Sun 系统产品套件的新安全修复程序。其中 8 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。 Oracle Sun 系统产品套件风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2017-3623 | Solaris | 内核 RPC | 多个 | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 无 | 参见注释 1 | | CVE-2016-3607 | Solaris Cluster | GlassFish Server | 多个 | 是 | 9.8 | 网络 | 低 | 无 | 无 | 不变 | 高 | 高 | 高 | 4.3 | | | CVE-2016-5019 | StorageTek Tape Analytics SW Tool | 核心 (Apache Trinidad) | 多个 | 是 | 9.8 | 网络 | 低 | 无 | 无 | 不变 | 高 | 高 | 高 | 2.2.1 之前的版本 | | | CVE-2015-4852 | StorageTek Tape Analytics SW Tool | WebLogic Server | T3 | 是 | 9.8 | 网络 | 低 | 无 | 无 | 不变 | 高 | 高 | 高 | 2.2.1 之前的版本 | | | CVE-2015-7501 | StorageTek Tape Analytics SW Tool | 核心 (Apache Commons Collections) | 多个 | 否 | 8.8 | 网络 | 低 | 低 | 无 | 不变 | 高 | 高 | 高 | 2.2.1 之前的版本 | | | CVE-2017-3578 | Sun ZFS Storage Appliance Kit (AK) | RAS 子系统 | 无 | 否 | 8.8 | 本地 | 低 | 低 | 无 | 改变 | 高 | 高 | 高 | AK 2013 | | | CVE-2017-3582 | Oracle SuperCluster 特定软件 | 备份/恢复实用程序 | 无 | 否 | 8.4 | 本地 | 低 | 无 | 无 | 不变 | 高 | 高 | 高 | 2.3.8、2.3.13 | | | CVE-2017-3580 | Sun ZFS Storage Appliance Kit (AK) | RAS 子系统 | 多个 | 是 | 8.3 | 网络 | 高 | 无 | 需要 | 改变 | 高 | 高 | 高 | AK 2013 | | | CVE-2017-3564 | Solaris | RBAC | 无 | 否 | 8.2 | 本地 | 低 | 低 | 需要 | 改变 | 高 | 高 | 高 | 11.3 | | | CVE-2017-3565 | Solaris | RBAC | 无 | 否 | 7.9 | 本地 | 低 | 低 | 需要 | 改变 | 高 | 高 | 无 | 11.3 | | | CVE-2017-3622 | Solaris | Common Desktop Environment (CDE) | 无 | 否 | 7.8 | 本地 | 低 | 低 | 无 | 不变 | 高 | 高 | 高 | 10 | 参见注释 2 | | CVE-2017-3584 | Sun ZFS Storage Appliance Kit (AK) | RAS 子系统 | 无 | 否 | 7.8 | 本地 | 高 | 低 | 无 | 改变 | 高 | 高 | 高 | AK 2013 | | | CVE-2017-3510 | Solaris | 内核区域虚拟化 NIC 驱动程序 | 多个 | 否 | 7.7 | 网络 | 低 | 低 | 无 | 改变 | 无 | 高 | 无 | 11.3 | | | CVE-2017-3516 | Solaris | 内核区域虚拟化 NIC 驱动程序 | 多个 | 否 | 7.7 | 网络 | 低 | 低 | 无 | 改变 | 无 | 无 | 高 | 11.3 | | | CVE-2017-3621 | Sun ZFS Storage Appliance Kit (AK) | IPC Frameworks | 多个 | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 无 | 无 | 高 | AK 2013 | | | CVE-2017-3497 | Solaris | 远程管理后台进程 | 多个 | 是 | 7.3 | 网络 | 低 | 无 | 无 | 不变 | 低 | 低 | 低 | 11.3 | | | CVE-2017-3551 | Solaris | Smartcard 库 | 无 | 否 | 6.6 | 本地 | 低 | 低 | 无 | 不变 | 低 | 低 | 高 | 11.3 | | | CVE-2017-3585 | Sun ZFS Storage Appliance Kit (AK) | User Interface 子系统 | HTTP | 是 | 5.3 | 网络 | 低 | 无 | 无 | 不变 | 无 | 低 | 无 | AK 2013 | | | CVE-2017-3498 | Solaris | 内核 | 无 | 否 | 3.3 | 本地 | 低 | 低 | 无 | 不变 | 低 | 无 | 无 | 11.3 | | | CVE-2017-3474 | Solaris | 区域 | 无 | 否 | 3.3 | 本地 | 低 | 低 | 无 | 不变 | 低 | 无 | 无 | 11.3 | | | CVE-2016-5551 | Solaris Cluster | NAS 设备添加 | 无 | 否 | 3.3 | 本地 | 低 | 无 | 需要 | 不变 | 低 | 无 | 无 | 4.3 | | 注: - CVE-2017-3623 分配给“Ebbisland”。自 2012 年 1 月 26 日以来安装了任何内核补丁或者通过修补工具更新的 Solaris 10系统不受影响。而且,任何安装了 Solaris 10 1/13 (Solaris 10 Update 11) 的 Solaris 10 系统都不会受影响。Solaris 11 不受此问题的影响。
- CVE-2017-3622 分配给“Extremeparr”。
下面是解决的其他 CVE: - CVE-2016-5019 修复程序还解决了 CVE-2016-3504。
附录 — Oracle Linux 和 Oracle 虚拟化 Oracle 虚拟化执行概要 该重要补丁更新包含 15 个针对 Oracle 虚拟化的新安全修复程序。其中 6 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。 Oracle 虚拟化风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2016-5407 | Secure Global Desktop | Window 系统 (X11) | TCP | 是 | 9.8 | 网络 | 低 | 无 | 无 | 不变 | 高 | 高 | 高 | 4.71、5.2、5.3 | | | CVE-2017-3561 | Oracle VM VirtualBox | 核心 | 无 | 否 | 8.8 | 本地 | 低 | 低 | 无 | 改变 | 高 | 高 | 高 | 5.0.38 之前的版本、5.1.20 之前的版本 | | | CVE-2017-3563 | Oracle VM VirtualBox | 核心 | 无 | 否 | 8.8 | 本地 | 低 | 低 | 无 | 改变 | 高 | 高 | 高 | 5.0.38 之前的版本、5.1.20 之前的版本 | | | CVE-2017-3576 | Oracle VM VirtualBox | 核心 | 无 | 否 | 8.8 | 本地 | 低 | 低 | 无 | 改变 | 高 | 高 | 高 | 5.0.38 之前的版本、5.1.20 之前的版本 | | | CVE-2017-3558 | Oracle VM VirtualBox | 核心 | 无 | 否 | 8.5 | 本地 | 低 | 无 | 无 | 改变 | 低 | 低 | 高 | 5.0.38 之前的版本、5.1.20 之前的版本 | | | CVE-2017-3587 | Oracle VM VirtualBox | Shared Folder | 无 | 否 | 8.4 | 本地 | 低 | 低 | 无 | 改变 | 无 | 高 | 高 | 5.0.38 之前的版本、5.1.20 之前的版本 | | | CVE-2017-3559 | Oracle VM VirtualBox | 核心 | 无 | 否 | 7.9 | 本地 | 低 | 低 | 无 | 改变 | 低 | 低 | 高 | 5.0.38 之前的版本、5.1.20 之前的版本 | | | CVE-2017-3575 | Oracle VM VirtualBox | 核心 | 无 | 否 | 7.9 | 本地 | 低 | 高 | 无 | 改变 | 无 | 高 | 高 | 5.0.38 之前的版本、5.1.20 之前的版本 | | | CVE-2017-3538 | Oracle VM VirtualBox | Shared Folder | 无 | 否 | 7.5 | 本地 | 高 | 低 | 无 | 改变 | 高 | 高 | 无 | 5.0.34 之前的版本、5.1.16 之前的版本 | | | CVE-2017-3731 | Secure Global Desktop | 核心 (OpenSSL) | SSL/TLS | 是 | 5.9 | 网络 | 高 | 无 | 无 | 不变 | 无 | 无 | 高 | 4.71、5.2、5.3 | | | CVE-2013-1982 | Secure Global Desktop | Window 系统 (X11) | TCP | 是 | 5.6 | 网络 | 高 | 无 | 无 | 不变 | 低 | 低 | 低 | 4.71 | | | CVE-2016-3739 | Secure Global Desktop | 核心 (LibcURL) | 多个 | 是 | 4.8 | 网络 | 高 | 无 | 无 | 不变 | 低 | 低 | 无 | 5.2、5.3 | | | CVE-2016-8743 | Secure Global Desktop | Web 服务器 (Apache HTTP Server) | HTTP | 是 | 4.0 | 网络 | 高 | 无 | 无 | 改变 | 低 | 无 | 无 | 4.71、5.2、5.3 | | | CVE-2016-0762 | Secure Global Desktop | 应用服务器 (Apache Tomcat) | HTTP | 是 | 3.7 | 网络 | 高 | 无 | 无 | 不变 | 低 | 无 | 无 | 4.71、5.2、5.3 | | | CVE-2017-3513 | Oracle VM VirtualBox | 核心 | 无 | 否 | 2.5 | 本地 | 高 | 高 | 无 | 改变 | 低 | 无 | 无 | 5.0.38 之前的版本、5.1.20 之前的版本 | | 下面是解决的其他 CVE: - CVE-2013-1982 修复程序还解决了 CVE-2013-1983、CVE-2013-1984、CVE-2013-1985、CVE-2013-1986、CVE-2013-1987、CVE-2013-1995、CVE-2013-1998、CVE-2013-2002、CVE-2013-2003 和 CVE-2013-2005。
- CVE-2016-0762 修复程序还解决了 CVE-2016-5018、CVE-2016-6794、CVE-2016-6796、CVE-2016-6797、CVE-2016-6816、CVE-2016-6817 和 CVE-2016-8735。
- CVE-2016-3739 修复程序还解决了 CVE-2016-4802、CVE-2016-5419、CVE-2016-5420、CVE-2016-5421、CVE-2016-8615、CVE-2016-8616、CVE-2016-8617、CVE-2016-8618、CVE-2016-8619、CVE-2016-8620、CVE-2016-8621、CVE-2016-8622、CVE-2016-8623、CVE-2016-8624 和 CVE-2016-8625。
- CVE-2017-3731 修复程序还解决了 CVE-2016-2177、CVE-2016-2178、CVE-2016-2179、CVE-2016-2180、CVE-2016-2181、CVE-2016-2182、CVE-2016-2183、CVE-2016-6302、CVE-2016-6303、CVE-2016-6304、CVE-2016-6305、CVE-2016-6306、CVE-2016-6307、CVE-2016-6308、CVE-2016-7055、CVE-2017-3730 和 CVE-2017-3732。
附录 — Oracle MySQL Oracle MySQL 执行概要 该重要补丁更新包含 40 个针对 Oracle MySQL 的新安全修复程序。其中 11 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。 Oracle MySQL 风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2017-5638 | MySQL Enterprise Monitor | 监视:常规 (Struts 2) | MySQL 协议 | 是 | 10.0 | 网络 | 低 | 无 | 无 | 改变 | 高 | 高 | 高 | 3.1.6.8003 及早期版本、3.2.1182 及早期版本、3.3.2.1162 及早期版本 | | | CVE-2016-6303 | MySQL Workbench | Workbench:安全:加密 (OpenSSL) | MySQL 协议 | 是 | 9.8 | 网络 | 低 | 无 | 无 | 不变 | 高 | 高 | 高 | 6.3.8 及早期版本 | | | CVE-2017-3523 | MySQL Connectors | Connector/J | MySQL 协议 | 否 | 8.5 | 网络 | 高 | 低 | 无 | 改变 | 高 | 高 | 高 | 5.1.40 及早期版本 | | | CVE-2017-3306 | MySQL Enterprise Monitor | 监视:服务器 | MySQL 协议 | 否 | 8.3 | 网络 | 低 | 高 | 需要 | 改变 | 高 | 高 | 低 | 3.1.6.8003 及早期版本、3.2.1182 及早期版本、3.3.2.1162 及早期版本 | | | CVE-2016-2176 | MySQL Enterprise Backup | 备份:ENTRBACK (OpenSSL) | MySQL 协议 | 是 | 8.2 | 网络 | 低 | 无 | 无 | 不变 | 低 | 无 | 高 | 3.12.2 及早期版本、4.0.1 及早期版本 | | | CVE-2016-2176 | MySQL Workbench | Workbench:安全:加密 (OpenSSL) | MySQL 协议 | 是 | 8.2 | 网络 | 低 | 无 | 无 | 不变 | 低 | 无 | 高 | 6.3.7 及早期版本 | | | CVE-2017-3308 | MySQL Server | 服务器:DML | MySQL 协议 | 否 | 7.7 | 网络 | 低 | 低 | 无 | 改变 | 无 | 无 | 高 | 5.5.54 及早期版本、5.6.35 及早期版本、5.7.17 及早期版本 | | | CVE-2017-3309 | MySQL Server | 服务器:优化器 | MySQL 协议 | 否 | 7.7 | 网络 | 低 | 低 | 无 | 改变 | 无 | 无 | 高 | 5.5.54 及早期版本、5.6.35 及早期版本、5.7.17 及早期版本 | | | CVE-2017-3450 | MySQL Server | 服务器:Memcached | MySQL 协议 | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 无 | 无 | 高 | 5.6.35 及早期版本、5.7.17 及早期版本 | | | CVE-2017-3599 | MySQL Server | 服务器:可插拔身份验证 | MySQL 协议 | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 无 | 无 | 高 | 5.6.35 及早期版本、5.7.17 及早期版本 | | | CVE-2017-3329 | MySQL Server | 服务器:线程池 | MySQL 协议 | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 无 | 无 | 高 | 5.5.54 及早期版本、5.6.35 及早期版本、5.7.17 及早期版本 | | | CVE-2017-3600 | MySQL Server | 客户端 mysqldump | MySQL 协议 | 否 | 6.6 | 网络 | 高 | 高 | 无 | 不变 | 高 | 高 | 高 | 5.5.54 及早期版本、5.6.35 及早期版本、5.7.17 及早期版本 | 参见注释 1 | | CVE-2016-3092 | MySQL Enterprise Monitor | 监视:常规 (Apache Commons FileUpload) | MySQL 协议 | 否 | 6.5 | 网络 | 低 | 低 | 无 | 不变 | 无 | 无 | 高 | 3.1.6.8003 及早期版本、3.2.1182 及早期版本、3.3.2.1162 及早期版本 | | | CVE-2017-3331 | MySQL Server | 服务器:DML | MySQL 协议 | 否 | 6.5 | 网络 | 低 | 低 | 无 | 不变 | 无 | 无 | 高 | 5.7.11 至 5.7.17 | | | CVE-2017-3453 | MySQL Server | 服务器:优化器 | MySQL 协议 | 否 | 6.5 | 网络 | 低 | 低 | 无 | 不变 | 无 | 无 | 高 | 5.5.54 及早期版本、5.6.35 及早期版本、5.7.17 及早期版本 | | | CVE-2017-3452 | MySQL Server | 服务器:优化器 | MySQL 协议 | 否 | 6.5 | 网络 | 低 | 低 | 无 | 不变 | 无 | 无 | 高 | 5.6.35 及早期版本 | | | CVE-2017-3586 | MySQL Connectors | Connector/J | MySQL 协议 | 否 | 6.4 | 网络 | 低 | 低 | 无 | 改变 | 低 | 低 | 无 | 5.1.41 及早期版本 | | | CVE-2017-3732 | MySQL Enterprise Backup | 备份:ENTRBACK (OpenSSL) | MySQL 协议 | 是 | 5.9 | 网络 | 高 | 无 | 无 | 不变 | 高 | 无 | 无 | 3.12.3 及早期版本、4.0.3 及早期版本 | | | CVE-2017-3731 | MySQL Enterprise Monitor | 监视:常规 (OpenSSL) | MySQL 协议 | 是 | 5.9 | 网络 | 高 | 无 | 无 | 不变 | 高 | 无 | 无 | 3.1.6.8003 及早期版本、3.2.1182 及早期版本、3.3.2.1162 及早期版本 | | | CVE-2017-3454 | MySQL Server | 服务器:InnoDB | MySQL 协议 | 否 | 5.5 | 网络 | 低 | 高 | 无 | 不变 | 无 | 低 | 高 | 5.7.17 及早期版本 | | | CVE-2017-3304 | MySQL Cluster | 集群:DD | MySQL 协议 | 否 | 5.4 | 网络 | 低 | 低 | 无 | 不变 | 无 | 低 | 低 | 7.2.27 及早期版本、7.3.16 及早期版本、7.4.14 及早期版本、7.5.5 及早期版本 | | | CVE-2017-3455 | MySQL Server | 服务器:安全:权限 | MySQL 协议 | 否 | 5.4 | 网络 | 低 | 低 | 无 | 不变 | 低 | 低 | 无 | 5.7.17 及早期版本 | | | CVE-2017-3305 | MySQL Server | 服务器:C API | MySQL 协议 | 否 | 5.3 | 网络 | 高 | 低 | 无 | 不变 | 高 | 无 | 无 | 5.5.55 及早期版本、5.6.35 及早期版本 | | | CVE-2017-3302 | MySQL Server | 服务器:C API | MySQL 协议 | 否 | 5.1 | 本地 | 高 | 无 | 无 | 不变 | 无 | 无 | 高 | 5.5.54 及早期版本、5.6.20 及早期版本 | | | CVE-2017-3460 | MySQL Server | 服务器:审计插件 | MySQL 协议 | 否 | 4.9 | 网络 | 低 | 高 | 无 | 不变 | 无 | 无 | 高 | 5.7.17 及早期版本 | | | CVE-2017-3456 | MySQL Server | 服务器:DML | MySQL 协议 | 否 | 4.9 | 网络 | 低 | 高 | 无 | 不变 | 无 | 无 | 高 | 5.5.54 及早期版本、5.6.35 及早期版本、5.7.17 及早期版本 | | | CVE-2017-3458 | MySQL Server | 服务器:DML | MySQL 协议 | 否 | 4.9 | 网络 | 低 | 高 | 无 | 不变 | 无 | 无 | 高 | 5.7.17 及早期版本 | | | CVE-2017-3457 | MySQL Server | 服务器:DML | MySQL 协议 | 否 | 4.9 | 网络 | 低 | 高 | 无 | 不变 | 无 | 无 | 高 | 5.7.17 及早期版本 | | | CVE-2017-3459 | MySQL Server | 服务器:优化器 | MySQL 协议 | 否 | 4.9 | 网络 | 低 | 高 | 无 | 不变 | 无 | 无 | 高 | 5.7.17 及早期版本 | | | CVE-2017-3463 | MySQL Server | 服务器:安全:权限 | MySQL 协议 | 否 | 4.9 | 网络 | 低 | 高 | 无 | 不变 | 无 | 无 | 高 | 5.5.54 及早期版本、5.6.35 及早期版本、5.7.17 及早期版本 | | | CVE-2017-3462 | MySQL Server | 服务器:安全:权限 | MySQL 协议 | 否 | 4.9 | 网络 | 低 | 高 | 无 | 不变 | 无 | 无 | 高 | 5.5.54 及早期版本、5.6.35 及早期版本、5.7.17 及早期版本 | | | CVE-2017-3461 | MySQL Server | 服务器:安全:权限 | MySQL 协议 | 否 | 4.9 | 网络 | 低 | 高 | 无 | 不变 | 无 | 无 | 高 | 5.5.54 及早期版本、5.6.35 及早期版本、5.7.17 及早期版本 | | | CVE-2017-3464 | MySQL Server | 服务器:DDL | MySQL 协议 | 否 | 4.3 | 网络 | 低 | 低 | 无 | 不变 | 无 | 低 | 无 | 5.5.54 及早期版本、5.6.35 及早期版本、5.7.17 及早期版本 | | | CVE-2017-3465 | MySQL Server | 服务器:安全:权限 | MySQL 协议 | 否 | 4.3 | 网络 | 低 | 低 | 无 | 不变 | 无 | 低 | 无 | 5.7.17 及早期版本 | | | CVE-2017-3467 | MySQL Server | 服务器:C API | MySQL 协议 | 是 | 3.7 | 网络 | 高 | 无 | 无 | 不变 | 低 | 无 | 无 | 5.7.17 及早期版本 | | | CVE-2017-3469 | MySQL Workbench | Workbench:安全:加密 | MySQL 协议 | 是 | 3.7 | 网络 | 高 | 无 | 无 | 不变 | 低 | 无 | 无 | 6.3.8 及早期版本 | | | CVE-2017-3589 | MySQL Connectors | Connector/J | MySQL 协议 | 否 | 3.3 | 本地 | 低 | 低 | 无 | 不变 | 无 | 低 | 无 | 5.1.41 及早期版本 | | | CVE-2017-3590 | MySQL Connectors | Connector/Python | 无 | 否 | 3.3 | 本地 | 低 | 低 | 无 | 不变 | 无 | 低 | 无 | 2.1.5 及早期版本 | | | CVE-2017-3307 | MySQL Enterprise Monitor | 监视:服务器 | MySQL 协议 | 否 | 3.1 | 网络 | 高 | 高 | 需要 | 不变 | 无 | 低 | 低 | 3.1.6.8003 及早期版本、3.2.1182 及早期版本、3.3.2.1162 及早期版本 | | | CVE-2017-3468 | MySQL Server | 服务器:安全:加密 | MySQL 协议 | 否 | 3.1 | 网络 | 高 | 低 | 无 | 不变 | 无 | 低 | 无 | 5.7.17 及早期版本 | | 注: - CVE-2017-3600 等同于 CVE-2016-5483。
下面是解决的其他 CVE: - CVE-2016-2176 修复程序还解决了 CVE-2016-2105、CVE-2016-2106、CVE-2016-2107 和 CVE-2016-2109。
- CVE-2016-6303 修复程序还解决了 CVE-2016-2177、CVE-2016-2178、CVE-2016-2179、CVE-2016-2180、CVE-2016-2181、CVE-2016-2182、CVE-2016-2183、CVE-2016-6302、CVE-2016-6304 和 CVE-2016-6306。
- CVE-2017-3731 修复程序还解决了 CVE-2016-7055 和 CVE-2017-3732。
- CVE-2017-3732 修复程序还解决了 CVE-2016-7055 和 CVE-2017-3731。
附录 — Oracle 支持工具 Oracle 支持工具执行概要 该重要补丁更新包含 13 个针对 Oracle 支持工具的新安全修复程序。其中 4 个漏洞无需身份验证即可被远程利用,即无需用户凭证即可通过网络利用这些漏洞。在此可获取此风险表的英语文本形式。 Oracle 支持工具风险表
| 漏洞号 | 组件 | 子组件 | 协议 |
无需身份验证即可远程利用? | CVSS 3.0 版风险(参阅风险表定义) | 受影响的支持版本 | 说明 | 基本
评分 | 攻击
途径 | 攻击
复杂性 | 所需
权限 | 用户
交互 | 范围 | 机密性 | 完整性 | 可用性 | | CVE-2017-3234 | 自动服务请求 (ASR) | ASR Manager | SFT | 是 | 9.8 | 网络 | 低 | 无 | 无 | 不变 | 高 | 高 | 高 | 5.7 之前的版本 | | | CVE-2017-3237 | 自动服务请求 (ASR) | ASR Manager | 无 | 否 | 7.8 | 本地 | 低 | 低 | 无 | 不变 | 高 | 高 | 高 | 5.7 之前的版本 | | | CVE-2017-3581 | 自动服务请求 (ASR) | ASR Manager | 无 | 否 | 7.8 | 本地 | 低 | 低 | 无 | 不变 | 高 | 高 | 高 | 5.7 之前的版本 | | | CVE-2017-3620 | 自动服务请求 (ASR) | ASR Manager | 无 | 否 | 7.8 | 本地 | 低 | 低 | 无 | 不变 | 高 | 高 | 高 | 5.7 之前的版本 | | | CVE-2017-3233 | 自动服务请求 (ASR) | ASR Manager | HTTP | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 无 | 高 | 无 | 5.7 之前的版本 | | | CVE-2016-6304 | OSS Support Tools | Oracle Explorer (OpenSSL) | SSL/TLS | 是 | 7.5 | 网络 | 低 | 无 | 无 | 不变 | 无 | 无 | 高 | RDA 8.15.17.3.14 之前的版本 | | | CVE-2015-5252 | Oracle Advanced Support Gateway | Samba 服务 | SMB | 是 | 7.2 | 网络 | 低 | 无 | 无 | 改变 | 低 | 低 | 无 | 7.2 之前的版本 | | | CVE-2017-3618 | 自动服务请求 (ASR) | ASR Manager | 无 | 否 | 7.1 | 本地 | 低 | 低 | 无 | 不变 | 高 | 高 | 无 | 5.7 之前的版本 | | | CVE-2017-3232 | 自动服务请求 (ASR) | ASR Manager | 无 | 否 | 5.5 | 本地 | 低 | 低 | 无 | 不变 | 高 | 无 | 无 | 5.7 之前的版本 | | | CVE-2017-3619 | 自动服务请求 (ASR) | ASR Manager | 无 | 否 | 5.5 | 本地 | 低 | 低 | 无 | 不变 | 高 | 无 | 无 | 5.7 之前的版本 | | | CVE-2017-3504 | 自动服务请求 (ASR) | ASR Manager | 无 | 否 | 5.1 | 本地 | 低 | 无 | 无 | 不变 | 无 | 低 | 低 | 5.7 之前的版本 | | | CVE-2017-3505 | 自动服务请求 (ASR) | ASR Manager | 无 | 否 | 5.1 | 本地 | 低 | 无 | 无 | 不变 | 无 | 低 | 低 | 5.7 之前的版本 | | | CVE-2004-2761 | Oracle Trace File Analyzer (TFA) | TFA Collector | 多个 | 否 | 4.3 | 网络 | 低 | 低 | 无 | 不变 | 无 | 低 | 无 | 12.1.2.8.4 之前的版本 | | 下面是解决的其他 CVE: - CVE-2016-6304 修复程序还解决了 CVE-2016-2177、CVE-2016-2178、CVE-2016-2179、CVE-2016-2180、CVE-2016-2181、CVE-2016-2182、CVE-2016-2183、CVE-2016-6302、CVE-2016-6303、CVE-2016-6305、CVE-2016-6306、CVE-2016-6307、CVE-2016-6308、CVE-2016-6309 和 CVE-2016-7052。
| 
主题
Printer View