首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Oracle 7月多個安全漏洞

發布時間 2021-07-21

0x00 漏洞概述

2021年7月20日,Oracle發布了7月份的安全更新,本次發布的安全更新共計342個,涉及Oracle Communications Applications 、Oracle E-Business Suite、Oracle Enterprise Manager和Oracle Fusion Middleware等多個產品和組件。

 

0x01 漏洞詳情

image.png

Oracle Fusion Middleware多個安全漏洞

Oracle此次共發布了48個適用于Oracle Fusion Middleware的安全更新,其中有 35個漏洞無需經過身份驗證即可遠程利用。其中包括多個WebLogic Server安全漏洞,未經身份驗證的攻擊者可以通過IIOP或T3協議發送惡意請求來利用這些漏洞,從而在Oracle WebLogic Server執行代碼或控制服務器。嚴重漏洞包括CVE-2021-2394、CVE-2021-2397和CVE-2021-2382,它們的CVSS評分均為9.8。

 

Oracle Communications Applications多個安全漏洞

Oracle此次共發布了33 個適用于 Oracle Communications Applications 的安全更新,其中有 22 個漏洞無需經過身份驗證即可遠程利用。其中嚴重漏洞包括CVE-2021-21345、CVE-2020-11612、CVE-2021-3177、CVE-2020-17530和CVE-2019-17195,攻擊者可以通過HTTP協議發送惡意請求來利用這些漏洞。

 

Oracle E-Business Suite多個安全漏洞

Oracle此次共發布了17 個適用于Oracle E-Business Suite 的安全更新,其中有3個漏洞無需經過身份驗證即可遠程利用。其中一個評級為嚴重的漏洞為CVE-2021-2355(CVSS評分為9.1),該漏洞的利用復雜度低,且無需用戶交互。此外,Oracle還修復了包括CVE-2021-2436、CVE-2021-2359和CVE-2021-2361在內的15個高危漏洞。

 

Oracle Enterprise Manager多個安全漏洞

Oracle此次共發布了8 個適用于Oracle Enterprise Manager的安全更新,這些漏洞都可以在未經過身份驗證的情況下遠程利用。其中一個評級為嚴重的漏洞為CVE-2020-10683(CVSS評分為9.8),該漏洞的利用復雜度低,且無需用戶交互。此外,Oracle還修復了包括CVE-2019-5064在內的其它7個安全漏洞。

 

Oracle Financial Services Applications多個安全漏洞

Oracle此次共發布了22個適用于Oracle Financial Services Applications的安全更新,其中有 17個漏洞無需經過身份驗證即可遠程利用。其中嚴重漏洞包括CVE-2021-21345、CVE-2019-0228、CVE-2021-26117、CVE-2020-5413、CVE-2020-11998和CVE-2020-27218,攻擊者可以通過HTTP協議發送惡意請求來利用這些漏洞。

 

0x02 處置建議

目前Oracle已發布相關安全更新,建議用戶盡快修復。

下載鏈接:

https://www.oracle.com/security-alerts/cpujul2021.html

 

緩解措施

禁用T3協議:

1)進入WebLogic控制臺,在base_domain的配置頁面中,進入“安全”選項卡頁面,點擊“篩選器”,進入連接篩選器配置。

2)在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl,在連接篩選器規則中輸入:127.0.0.1 * * allow t3t3s,0.0.0.0/0 * *deny t3 t3s(t3和t3s協議的所有端口只允許本地訪問)。

3)保存后需重新啟動,規則方可生效。

image.png

 

禁用IIOP協議:

登陸WebLogic控制臺,base_domain >服務器概要 >AdminServer

image.png

 

0x03 參考鏈接

https://www.oracle.com/security-alerts/cpujul2021.html

https://us-cert.cisa.gov/ncas/current-activity/2021/07/20/oracle-releases-july-2021-critical-patch-update

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-2394

 

0x04 更新版本

版本

日期

修改內容

V1.0

2021-07-21

首次發布

0x05 文檔附錄

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

NVD:nvd.nist.gov

CVSS:www.first.org

 

0x06 關于我們

關注以下公眾號,獲取更多資訊:

image.png       image.png

上一篇 下一篇