首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Oracle 10月多個安全漏洞

發布時間 2021-10-20

0x00 漏洞概述

2021年10月19日,Oracle發布了10月份的安全更新,本次發布的安全更新共計419個,涉及Oracle Communications Applications 、Oracle E-Business Suite、Oracle Financial Services Applications、Oracle Enterprise Manager、Oracle Fusion Middleware、Oracle Java SE、Oracle MySQL和Oracle Systems等多個產品和組件。

 

0x01 漏洞詳情

image.png

l  Oracle Fusion Middleware多個安全漏洞

Oracle此次共發布了38個適用于Oracle Fusion Middleware的安全更新,其中有 30個漏洞無需經過身份驗證即可遠程利用。本次發布的更新涉及多個Oracle WebLogic Server漏洞:CVE-2021-35617、CVE-2021-35620和CVE-2021-35552等,其中CVE-2021-35617的CVSS評分為9.8,攻擊復雜度低,且無需用戶交互。攻擊者可以通過IIOP協議對Oracle WebLogic Server發起攻擊,成功利用此漏洞的攻擊者可以控制Oracle WebLogic Server。


l  Oracle Communications Applications多個安全漏洞

Oracle此次共發布了19個適用于 Oracle Communications Applications 的安全更新,其中有14個漏洞無需經過身份驗證即可遠程利用。其中嚴重漏洞包括CVE-2021-3177,其CVSS評分為9.8。

 

l  Oracle E-Business Suite多個安全漏洞

Oracle此次共發布了18個適用于Oracle E-Business Suite 的安全更新,其中有4個漏洞無需經過身份驗證即可遠程利用。其中包括CVE-2021-35566、CVE-2021-2483、CVE-2021-35536和CVE-2021-35585等11個高危漏洞,它們的CVSS評分均為8.1。

 

l  Oracle Enterprise Manager多個安全漏洞

Oracle此次共發布了8個適用于Oracle Enterprise Manager的安全更新,其中有5個漏洞無需經過身份驗證即可遠程利用。其中一個評級為嚴重的漏洞為CVE-2021-26691(CVSS評分為9.8),該漏洞的利用復雜度低,且無需用戶交互。此外,Oracle還修復了包括CVE-2021-2137和CVE-2021-29505在內的其它7個安全漏洞。

 

l  Oracle Financial Services Applications多個安全漏洞

Oracle此次共發布了44個適用于Oracle Financial Services Applications的安全更新,其中有26個漏洞無需經過身份驗證即可遠程利用。其中嚴重漏洞包括CVE-2021-21345、CVE-2020-5413和CVE-2020-10683,它們的CVSS評分均為9.8。

 

l  Oracle Java SE多個安全漏洞

Oracle此次共發布了15個適用于Oracle Java SE的安全更新,其中有13個漏洞無需經過身份驗證即可遠程利用。其中高危漏洞包括CVE-2021-3517、CVE-2021-35560和CVE-2021-27290。其中,CVE-2021-3517和CVE-2021-35560影響了Java SE 8u301。

 

l  Oracle MySQL多個安全漏洞

Oracle此次共發布了66個適用于Oracle MySQL的安全更新,其中有10個漏洞無需經過身份驗證即可遠程利用。嚴重漏洞包括CVE-2021-22931(影響MySQL集群)和CVE-2021-3711(影響MySQL 服務器),這2個漏洞的CVSS評分均為9.8,攻擊復雜度低,且無需用戶交互。

 

l  Oracle Systems多個安全漏洞

Oracle此次共發布了5個適用于Oracle Systems的安全更新,其中有2個漏洞無需經過身份驗證即可遠程利用。嚴重漏洞包括CVE-2021-26691,其CVSS評分均為9.8,攻擊復雜度低,且無需用戶交互。此外,Oracle還發布了CVE-2021-35539、CVE-2021-35589、CVE-2021-35549和CVE-2020-1968等多個漏洞的補丁。

 

0x02 處置建議

目前Oracle已經發布了相關補丁,建議受影響的用戶及時升級更新。

漏洞列表及影響范圍請參考Oracle官方公告:

https://www.oracle.com/security-alerts/cpuoct2021.html

 

緩解措施

針對WebLogic,建議禁用T3協議或IIOP協議。

禁用T3協議,具體操作:

1)進入WebLogic控制臺,在base_domain的配置頁面中,進入“安全”選項卡頁面,點擊“篩選器”,進入連接篩選器配置。

2)在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl,在連接篩選器規則中輸入:127.0.0.1 * * allow t3t3s,0.0.0.0/0 * *deny t3 t3s(t3和t3s協議的所有端口只允許本地訪問)。

3)保存后需重新啟動,規則方可生效。

image.png

 

禁用IIOP協議,具體操作:

登陸WebLogic控制臺,base_domain >服務器概要 >AdminServer

image.png

 

0x03 參考鏈接

https://www.oracle.com/security-alerts/cpuoct2021.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22931

 

0x04 更新版本

版本

日期

修改內容

V1.0

2021-10-20

首次發布

 

0x05 文檔附錄

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

CVSS:www.first.org

NVD:nvd.nist.gov

 

0x06 關于我們

關注以下公眾號,獲取更多資訊:

image.png

 

 

上一篇 下一篇