商用軟件大廠甲骨文本周釋出今年第二季安全更新，修補(bǔ)包括520項(xiàng)漏洞，包括2項(xiàng)風(fēng)險(xiǎn)值10的重大漏洞。

　　本季修補(bǔ)的漏洞涵括甲骨文31項(xiàng)產(chǎn)品。500多項(xiàng)漏洞中，包括77個(gè)重大漏洞及141項(xiàng)高風(fēng)險(xiǎn)漏洞，占比各為14.8%及27.1%。

　　而在重大漏洞中有2項(xiàng)被判定風(fēng)險(xiǎn)值為最高的10分，分別是CVE-2022-22947及CVE-2022-21431。CVE-2022-22947影響Oracle Communications產(chǎn)品，當(dāng)產(chǎn)品中開(kāi)啟Spring Cloud Gateway端點(diǎn)，遠(yuǎn)端攻擊者就可發(fā)送惡意HTTP呼叫開(kāi)采，而在主機(jī)上執(zhí)行任意程式碼。CVE-2022-21431則影響Oracle Communications Billing及Revenue Management。未經(jīng)授權(quán)的攻擊者可送TCP呼叫開(kāi)采來(lái)接管這兩項(xiàng)產(chǎn)品，不過(guò)甲骨文表示，本漏洞也可能影響其他產(chǎn)品。

　　本季安全更新也修補(bǔ)了SpringShell漏洞CVE-2022-22965。

　　一項(xiàng)編號(hào)CVE-2022-21449的漏洞，成功攻擊可讓駭客新增、刪除或修改存取Oracle Java SE（15到18版）、Oracle Java SE訂閱服務(wù)中的Oracle GraalVM Enterprise Edition。雖然甲骨文給予7.5的風(fēng)險(xiǎn)值，但有安全研究人員認(rèn)為應(yīng)達(dá)到10。

　　這次的更新也涵括源自第三方元件的漏洞，包括2個(gè)新的Apache Log4j漏洞，分別是中度風(fēng)險(xiǎn)的CVE-2021-44832及高風(fēng)險(xiǎn)的CVE-2022-23305。

　　以數(shù)量而言，本季甲骨文修補(bǔ)的漏洞以O(shè)racle Communications、Fusion Middleware最多，兩者也分別有98個(gè)和41個(gè)可非授權(quán)遠(yuǎn)端開(kāi)采的漏洞，超過(guò)所有其他產(chǎn)品。

　　其他修補(bǔ)的主要產(chǎn)品由漏洞數(shù)量來(lái)看，還包括Oracle MySQL、Oracle PeopleSoft、Hyperion、Supply Chain、Enterprise Manager、JD Edwards、Oracle Virtualization、Database Server、E-Business Suite等。