Oracle 多个产品漏洞

基本信息

• 风险等级： 高危
• 漏洞类型： 远程代码执行
• 漏洞利用： 暂无
• 漏洞编号：CVE-2021-1994,CVE-2021-2047,CVE-2021-2064,CVE-2021-2108,CVE-2021-2075,CVE-2019-17195,CVE-2019-7164,CVE-2020-24750,CVE-2021-2029,CVE-2021-2100,CVE-2021-2101,CVE-2019-13990,CVE-2020-11973,CVE-2016-1000031,CVE-2020-11984,CVE-2020-10683,CVE-2020-11612,CVE-2019-10744,CVE-2020-8174,CVE-2019-3773

漏洞描述

近日，监测到Oracle官方发布了2021年1月份的安全更新。此次安全更新发布了329个漏洞补丁，其中Oracle Fusion Middleware有60个漏洞补丁更新，主要涵盖了Oracle Weblogic、Oracle Endeca Information Discovery Integrator、Oracle WebCenter Portal、Oracle BI Publisher、Oracle Business Intelligence Enterprise Edition等产品。在本次更新的60个漏洞补丁中有47个漏洞无需身份验证即可远程利用。重大漏洞详情如下：

1. Oracle WebLogic Server多个严重漏洞Weblogic本次更新了多个反序列化漏洞，这些漏洞允许未经身份验证的攻击者通过HTTP、IIOP、T3协议发送构造好的恶意请求，从而在Oracle WebLogic Server执行代码。严重漏洞编号如下：

• CVE-2021-1994
• CVE-2021-2047
• CVE-2021-2064
• CVE-2021-2108
• CVE-2021-2075
• CVE-2019-17195

2. Oracle Communications（Oracle通信应用软件）多个严重漏洞此重要补丁更新包含针对Oracle Communications的12个新的安全补丁。其中的7个漏洞无需身份验证即可远程利用，即可以通过网络利用而无需用户凭据。严重漏洞编号如下：

• CVE-2019-7164
• CVE-2020-24750

3. Oracle E-Business Suite（Oracle电子商务套件）多个严重漏洞此重要补丁更新包含针对Oracle E-Business Suite的31个新的安全补丁。其中的29个漏洞无需身份验证即可被远程利用，即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下：

• CVE-2021-2029
• CVE-2021-2100
• CVE-2021-2101

4. Oracle Enterprise Manager（Oracle企业管理软件）多个严重漏洞此重要补丁更新包含针对Oracle Enterprise Manager的8个新的安全补丁。全部漏洞无需身份验证即可远程利用，即可以通过网络利用而无需用户凭据。严重漏洞编号如下：

• CVE-2019-13990
• CVE-2020-11973
• CVE-2016-1000031
• CVE-2020-11984
• CVE-2020-10683

5. Oracle Financial Services Applications（Oracle金融服务应用软件）多个严重漏洞此重要补丁更新包含针对Oracle Financial Services Applications的50个新的安全补丁。其中的41个漏洞无需身份验证即可远程利用，即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下：

• CVE-2020-11612
• CVE-2019-10744
• CVE-2020-8174
• CVE-2019-3773
• CVE-2019-0230
• CVE-2020-1945

6. Oracle Retail Applications（Oracle零售应用软件）此重要补丁更新包含针对Oracle Retail Applications的32个新安全补丁。其中的20个漏洞无需身份验证即可远程利用，即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下：

• CVE-2020-10683
• CVE-2020-9546
• CVE-2020-9546
• CVE-2020-1945
• CVE-2020-5421
• CVE-2017-8028

7. Oracle Database Server（Oracle数据库服务器）此重要补丁更新包含针对Oracle Database Server的8个新安全补丁。这些漏洞中的1个无需身份验证即可远程利用，即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下：

• CVE-2021-2035
• CVE-2021-2018

Oracle WebLogic Server是美国甲骨文（Oracle）公司的一款适用于云环境和传统环境的应用服务中间件，它提供了一个现代轻型开发平台，支持应用从开发到生产的整个生命周期管理，并简化了应用的部署和管理。Oracle Communications Applications是美国甲骨文（Oracle）公司的一个高级的通讯及合作服务应用。Oracle E-Business Suite（电子商务套件）是美国甲骨文（Oracle）公司的一套全面集成式的全球业务管理软件。Oracle Enterprise Manager是美国甲骨文（Oracle）公司的一套本地管理平台，用于管理Oracle产品部署。Oracle Financial Services Applications是美国甲骨文（Oracle）公司的一套金融服务软件。Oracle Retail Applications是美国甲骨文（Oracle）公司的一套零售应用商店解决方案。Oracle Database Server是美国甲骨文（Oracle）公司的一套关系数据库管理系统。

影响范围

Oracle WebLogic Server,Oracle Communications,Oracle E-Business Suite,Oracle Enterprise Manager,Oracle Financial Services Applications,Oracle Retail Applications,Oracle Database Server

解决方案

临时修复建议

针对Weblogic的建议

1. 如果不依赖T3协议进行JVM通信，禁用T3协议：

   • 进入WebLogic控制台，在base_domain配置页面中，进入安全选项卡页面，点击筛选器，配置筛选器。
   • 在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则框中输入7001 deny t3 t3s保存生效。
   • 重启Weblogic项目，使配置生效。

2. 如果不依赖IIOP协议进行JVM通信，禁用IIOP协议：

   • 进入WebLogic控制台，在base_domain配置页面中，进入安全选项卡页面。
   • 选择“服务”->”AdminServer”->”协议”，取消“启用IIOP”的勾选。
   • 重启Weblogic项目，使配置生效。

通用修复建议

官方已发布安全版本，请及时下载升级至安全版本，链接如下：

https://www.oracle.com/security-alerts/cpujan2021.html

本作品采用《CC 协议》，转载必须注明作者和本文链接