20號凌晨，oracle發了一封郵件給其客戶

郵件內鏈接：
https://www.oracle.com/security-alerts/alert-cve-2022-21500.html

以下為中文翻譯：

Oracle 安全警報公告 - CVE-2022-21500

描述

此安全警報解決了漏洞 CVE-2022-21500，該漏洞會影響 Oracle E-Business Suite 的某些部署。該漏洞無需身份驗證即可遠程利用，即無需用戶名和密碼即可通過網絡利用該漏洞。如果成功利用，此漏洞可能會導致個人身份信息 (PII) 泄露。

Oracle 強烈建議客戶盡快應用此安全警報提供的更新。

Oracle SaaS 云環境不受此漏洞影響。此漏洞可能會影響 Oracle 托管云服務客戶的電子商務套件部署。Oracle 托管云服務客戶應咨詢其客戶團隊尋求幫助。

受影響的產品和補丁信息

此安全警報解決的安全漏洞會影響下列產品。產品區域顯示在補丁可用性文檔列中。

請單擊下面“補丁可用性文檔”列中的鏈接以訪問文檔以獲取補丁可用性信息和安裝說明。

安全警報支持的產品和版本

通過安全警報計劃發布的補丁僅適用于終身支持政策的首要支持或擴展支持階段涵蓋的產品版本 。Oracle 建議客戶計劃產品升級，以確保通過安全警報計劃發布的補丁適用于他們當前運行的版本。

不在 Premier Support 或 Extended Support 范圍內的產品版本未測試是否存在此安全警報所解決的漏洞。但是，受影響版本的早期版本也可能受到這些漏洞的影響。因此，Oracle 建議客戶升級到受支持的版本。

數據庫、融合中間件、Oracle Enterprise Manager 產品根據 My Oracle Support 說明 209768.1中說明的軟件錯誤糾正支持策略進行修補。請查看技術支持政策 ，了解有關支持政策和支持階段的進一步指南。

參考

• Oracle 重要補丁更新、安全警報和公告
• Oracle 重要補丁更新和安全警報 - 常見問題
• 風險矩陣定義
• Oracle 使用通用漏洞評分系統 (CVSS)
• 風險矩陣的英文文本
• CVRF XML 版本的風險矩陣
• CSAF JSON 版本的風險矩陣
• CVE 到咨詢/警報的映射
• Oracle 終身支持政策
• JEP 290 參考黑名單過濾器

風險矩陣內容

風險矩陣僅列出與此公告相關的補丁新解決的安全漏洞。以前的安全補丁的風險矩陣可以在 以前的重要補丁更新公告和警報中找到。本文檔中提供的風險矩陣的英文版本在 此處。

使用 CVSS 3.1 版對安全漏洞進行評分（有關 Oracle 如何應用 CVSS 3.1 版的說明， 請參閱Oracle CVSS 評分）。

Oracle 對安全警報解決的每個安全漏洞進行分析。Oracle 不會向客戶披露有關此安全分析的詳細信息，但由此產生的風險矩陣和相關文檔提供了有關漏洞類型、利用它所需的條件以及成功利用的潛在影響的信息。Oracle 提供此信息的部分原因是，客戶可以根據其產品使用的具體情況進行自己的風險分析。有關詳細信息，請參閱Oracle 漏洞披露政策。

Oracle 在產品風險矩陣下方列出了解決第三方組件漏洞的更新，這些漏洞在包含在其各自 Oracle 產品中的上下文中是不可利用的。

風險矩陣中的協議意味著它的所有安全變體（如果適用）也會受到影響。例如，如果 HTTP 被列為受影響的協議，則意味著 HTTPS（如果適用）也受到影響。僅當協議的安全變體是唯一受影響的變體時，它才會在風險矩陣中列出 ，例如，HTTPS 通常會針對 SSL 和 TLS 中的漏洞列出。

信用聲明

以下人員或組織向 Oracle 報告了此安全警報解決的安全漏洞：

• Ahmed L Shnawy: CVE-2022-21500
• Bhat Muneeb: CVE-2022-21500
• kirti soni: CVE-2022-21500
• Niteen Kale: CVE-2022-21500
• Owais Lone: CVE-2022-21500
• ract hack: CVE-2022-21500
• SaschA: CVE-2022-21500
• Vivek Kashyap: CVE-2022-21500

修改歷史

Oracle E-Business Suite 風險矩陣

此安全警報包含 1 個適用于 Oracle E-Business Suite 的新安全補丁。此漏洞無需身份驗證即可遠程利用，即無需用戶憑據即可通過網絡利用該漏洞。此風險矩陣的英文文本形式可在此處找到。

注：

1. 成功攻擊需要身份驗證，但用戶可能是自行注冊的。