Oracle漏洞补丁2018年4月更新（CVE-2018-2628）

Oracle的2018年4月重要补丁更新（CPU）包含254个新的安全修复程序，其中153个用于解决业务关键型应用程序中的漏洞。

共有19款产品在该CPU中获得安全更新，包括电子商务套件，融合中间件，金融服务应用程序，Java SE，MySQL，PeopleSoft，零售应用程序和Sun系统产品套件。近一半的漏洞可远程利用。

本月处理的42个安全漏洞评估的严重程度为严重等级，其中最严重的是CVSS评分为9.8。受影响的产品包括融合中间件，金融服务，PeopleSoft，EBS和零售应用程序。

融合中间件获得了39个补丁，这是本月收到的Oracle产品的最大数量。该软件巨头在其咨询中解释说，有30个漏洞可能无需身份验证即可远程利用。

其次是金融服务应用程序，修补了36个漏洞（其中18个可能无需身份验证即可远程利用），其次是MySQL有33个漏洞（2个可远程利用），零售应用程序有31个漏洞（27个可远程利用）。

Oracle还发布了针对Java SE的修补程序（14个漏洞 - 12个可远程利用而无需身份验证），Sun Systems Products Suite（14个问题 - 3个可远程利用），酒店应用程序（13 - 4），虚拟化（13 - 3），电子商务套件（12 - 11），PeopleSoft（12 - 8）和企业管理产品套件（10 - 8）。

供应链产品套件（5 - 3），建筑和工程套件（4 - 2），JD Edwards产品（3 - 3），Siebel CRM（3 - 3）和其他受影响产品包括通信应用程序（9个漏洞，其中6个可能被远程利用） 2 - 1），数据库服务器（2 - 0），支持工具（1 - 0）和实用程序应用程序（1 - 1）。

总的来说，本月Oracle发布的153个修补程序针对影响关键业务应用程序的漏洞：PeopleSoft，电子商务套件，融合中间件，零售，JD Edwards，Siebel CRM，金融服务，酒店应用程序和供应链。

周围的人的问题，69％，也可以不输入凭据远程利用，ERPScan，特别致力于在Oracle和SAP应用程序，注意事项。该公司还指出，Oracle拥有来自各行业的11万名应用程序客户，“这对于应用已发布的安全补丁非常重要。”

本月发布的最严重漏洞之一是CVE-2018-7489，其CVSS基本评分为9.8。该问题允许未经身份验证的网络访问攻击者接管易受攻击的组件。

此漏洞影响Oracle金融服务应用程序的多个组件，包括风险测量和管理，对冲管理和IFRS评估以及分析应用程序基础架构。

此Oracle CPU中解决的另一个关键问题是CVE-2018-2628（CVSS Base Score：9.8），它影响Fusion Middleware的WebLogic Server组件，并且可以被攻击者利用通过T3传输协议进行网络访问来利用。

其他关键问题包括影响JD Edwards产品的JD Edwards World Security组件和CVE-2017-5645（CVSS Base Score：9.8）的CVE-2017-5645（CVSS Base Score：9.8），影响零售订单管理系统组件的零售应用。攻击者成功利用漏洞可以完全控制受影响的组件。