Oracle重要补丁更新2018年7月Oracle PeopleSoft分析和影响

与几乎所有以前的Oracle E-Business Suite重要补丁更新(CPU)一样,2018年7月的季度补丁对于PeopleSoft应用程序来说是重要且高风险的。 尽管对特定亚美进行了宣传,营销或命名,但本季度在组织内的风险和优先级方面与上一季度没有什么不同。

在本季度中,PeopleSoft应用程序和PeopleTools中有15个安全亚美补丁程序-

10-PeopleTools

2-PeopleSoft财务

2 - PeopleSoft HCM

1-PeopleSoft校园解决方案

15个安全亚美中有11个无需身份验证即可远程利用,因此,攻击者可以在没有任何凭据的情况下利用PeopleSoft。 在本季度中,有7个跨站点脚本亚美,在PeopleSoft中使用的第三方库中的3个亚美以及其他5种类型的亚美。

修复了10个跨站点脚本(XSS)亚美和其他4种类型的亚美。 最重要的是,无需身份验证即可远程利用这14个亚美中的13个。

对于PeopleTools,仅支持8.55和8.56。 必须先升级PeopleTools的先前版本,才能应用安全补丁。

燕尾服

另一个亚美 在此CPU中已修复了Tuxedo JOLT(CVE-2018-3007)的问题,因此,还必须修补Tuxedo。 为了限制与JSH和WSH的连接,必须对Tuxedo服务器进行配置更改,以减少安全亚美的风险。

Web逻辑

该CPU中修复了WebLogic中的许多亚美,其中包括可以通过T3协议访问的亚美。 除了应用适当的WebLogic安全修补程序外,还应该将WebLogic配置为仅允许访问HTTPS协议。

甲骨文数据库

对于2018年7月的CPU,仅安全补丁支持11.2.0.4和12.1.0.2。 对于数据库,有一个OJVM 安全补丁,因此必须应用组合补丁或单独的OJVM 必须应用补丁程序来纠正PeopleSoft使用的数据库中Java虚拟机(JVM)中的亚美。

2018年7月建议

与几乎所有的重要补丁更新一样,安全亚美修复程序非常重要且风险很高。 所有PeopleSoft应立即采取纠正措施 环境。面临最大风险的实现是面向Internet的环境,并且由于大量跨站点脚本(XSS)亚美可以未经身份验证而被远程利用,因此Integrigy将此CPU评为高风险。  这些实现应尽快应用CPU或使用虚拟补丁解决方案(例如AppDefend)。

大多数PeopleSoft 环境无法及时应用CPU安全补丁,并且容易受到利用多个亚美的影响而完全损害应用程序。如果无法快速应用CPU,则唯一有效的替代方法是使用Integrigy的AppDefend,这是Oracle PeopleSoft的应用程序防火墙。 AppDefend提供虚拟补丁程序,可以有效地替换PeopleSoft的补丁程序 Web安全亚美。

引用的CVE: CVE-2017-5645,CVE-2018-1275,CVE-2018-2990,CVE-2018-2977,CVE-2018-0739,CVE-2018-2951,CVE-2018-3068,CVE-2018-2929,CVE- 2018-2919,CVE-2018-2985,CVE-2018-2986,CVE-2018-3016,CVE-2018-3072,CVE-2018-2970,CVE-2018-3076

 Share this post