首頁 > 安全研究 > 安全通報 > 安全通告

Oracle 4月多個安全漏洞

發布時間 2021-04-21

0x00 漏洞概述

2021年04月20日,Oracle發布了4月份的安全更新,本次發布的安全補丁共計390個,涉及Oracle Fusion Middleware、Oracle E-Business Suite、Oracle Communications Applications和Oracle MySQL等多個產品和組件。

 

0x01 漏洞詳情

image.png

 

在本次發布的安全補丁中,Oracle Fusion Middleware相關的補丁為45個,其中36個漏洞無需身份驗證即可遠程利用。Weblogic Server部分漏洞詳情如下:

Oracle WebLogic Server Coherence Container安全漏洞(CVE-2021-2135)

未經身份驗證的攻擊者可以通過T3或IIOP協議發送惡意請求,最終控制服務器。該漏洞無需用戶交互即可利用,其CVSS評分為9.8。

影響范圍

12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0

 

Oracle WebLogic Server Core安全漏洞(CVE-2021-2136)

未經身份驗證的攻擊者可以通過IIOP協議發送惡意請求,最終控制服務器。該漏洞無需用戶交互即可利用,其CVSS評分為9.8。

影響范圍

12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0

 

Oracle WebLogic Server TopLink Integration安全漏洞(CVE-2021-2157)

未經身份驗證的攻擊者可以通過HTTP發送惡意請求,最終可以未授權訪問關鍵數據。該漏洞無需用戶交互即可利用,其CVSS評分為7.5。

影響范圍

10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0

 

此外,在Oracle本次發布的安全補丁中:

與Oracle Communications Applications相關的補丁為13個,其中CVE-2020-11612和CVE-2020-28052評分為9.8,攻擊者無需經過身份驗證即可利用包括這2個漏洞在內的12個安全漏洞。

與E-Business Suite相關的補丁為70個,其中CVE-2021-2200和CVE-2021-2205評分為9.1,攻擊者無需經過身份驗證即可遠程利用包括這2個漏洞在內的22個安全漏洞。

與Oracle MySQL相關的補丁為49個,無需經過身份驗證即可利用的漏洞為10個,其中CVE-2021-3449和CVE-2021-3450(均為MySQL Server中的OpenSSL問題)評分分別為7.5和7.4, CVE-2021-2307為MySQL for Windows中的權限提升漏洞,該漏洞需經過驗證才能利用,其CVSS評分為6.1。

 

0x02 處置建議

目前Oracle已經發布相關安全補丁,建議盡快應用。

下載鏈接:

https://www.oracle.com/security-alerts/cpuapr2021.html

 

0x03 參考鏈接

https://www.oracle.com/security-alerts/cpuapr2021.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-2135

https://kb.cert.org/vuls/id/567764

 

0x04 時間線

2021-04-20  Oracle發布安全更新

2021-04-21  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

上一篇 下一篇