Oracle 多个产品漏洞

地球胖头鱼 2021-01-20
Web安全 发布于 2021-01-20 11:48:50 阅读 143 评论 0

基本信息

  • 风险等级: 高危
  • 漏洞类型: 远程代码执行
  • 漏洞利用: 暂无
  • 漏洞编号:CVE-2021-1994,CVE-2021-2047,CVE-2021-2064,CVE-2021-2108,CVE-2021-2075,CVE-2019-17195,CVE-2019-7164,CVE-2020-24750,CVE-2021-2029,CVE-2021-2100,CVE-2021-2101,CVE-2019-13990,CVE-2020-11973,CVE-2016-1000031,CVE-2020-11984,CVE-2020-10683,CVE-2020-11612,CVE-2019-10744,CVE-2020-8174,CVE-2019-3773

漏洞描述

近日,监测到Oracle官方发布了2021年1月份的安全更新。此次安全更新发布了329个漏洞补丁,其中Oracle Fusion Middleware有60个漏洞补丁更新,主要涵盖了Oracle Weblogic、Oracle Endeca Information Discovery Integrator、Oracle WebCenter Portal、Oracle BI Publisher、Oracle Business Intelligence Enterprise Edition等产品。在本次更新的60个漏洞补丁中有47个漏洞无需身份验证即可远程利用。重大漏洞详情如下:

1. Oracle WebLogic Server多个严重漏洞Weblogic本次更新了多个反序列化漏洞,这些漏洞允许未经身份验证的攻击者通过HTTP、IIOP、T3协议发送构造好的恶意请求,从而在Oracle WebLogic Server执行代码。严重漏洞编号如下:

  • CVE-2021-1994
  • CVE-2021-2047
  • CVE-2021-2064
  • CVE-2021-2108
  • CVE-2021-2075
  • CVE-2019-17195

2. Oracle Communications(Oracle通信应用软件)多个严重漏洞此重要补丁更新包含针对Oracle Communications的12个新的安全补丁。其中的7个漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:

  • CVE-2019-7164
  • CVE-2020-24750

3. Oracle E-Business Suite(Oracle电子商务套件)多个严重漏洞此重要补丁更新包含针对Oracle E-Business Suite的31个新的安全补丁。其中的29个漏洞无需身份验证即可被远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:

  • CVE-2021-2029
  • CVE-2021-2100
  • CVE-2021-2101

4. Oracle Enterprise Manager(Oracle企业管理软件)多个严重漏洞此重要补丁更新包含针对Oracle Enterprise Manager的8个新的安全补丁。全部漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:

  • CVE-2019-13990
  • CVE-2020-11973
  • CVE-2016-1000031
  • CVE-2020-11984
  • CVE-2020-10683

5. Oracle Financial Services Applications(Oracle金融服务应用软件)多个严重漏洞此重要补丁更新包含针对Oracle Financial Services Applications的50个新的安全补丁。其中的41个漏洞无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:

  • CVE-2020-11612
  • CVE-2019-10744
  • CVE-2020-8174
  • CVE-2019-3773
  • CVE-2019-0230
  • CVE-2020-1945

6. Oracle Retail Applications(Oracle零售应用软件)此重要补丁更新包含针对Oracle Retail Applications的32个新安全补丁。其中的20个漏洞无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:

  • CVE-2020-10683
  • CVE-2020-9546
  • CVE-2020-9546
  • CVE-2020-1945
  • CVE-2020-5421
  • CVE-2017-8028

7. Oracle Database Server(Oracle数据库服务器)此重要补丁更新包含针对Oracle Database Server的8个新安全补丁。这些漏洞中的1个无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:

  • CVE-2021-2035
  • CVE-2021-2018

Oracle多个产品漏洞

Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。Oracle Communications Applications是美国甲骨文(Oracle)公司的一个高级的通讯及合作服务应用。Oracle E-Business Suite(电子商务套件)是美国甲骨文(Oracle)公司的一套全面集成式的全球业务管理软件。Oracle Enterprise Manager是美国甲骨文(Oracle)公司的一套本地管理平台,用于管理Oracle产品部署。Oracle Financial Services Applications是美国甲骨文(Oracle)公司的一套金融服务软件。Oracle Retail Applications是美国甲骨文(Oracle)公司的一套零售应用商店解决方案。Oracle Database Server是美国甲骨文(Oracle)公司的一套关系数据库管理系统。

影响范围

Oracle WebLogic Server,Oracle Communications,Oracle E-Business Suite,Oracle Enterprise Manager,Oracle Financial Services Applications,Oracle Retail Applications,Oracle Database Server

解决方案

临时修复建议

针对Weblogic的建议

  1. 如果不依赖T3协议进行JVM通信,禁用T3协议:

    • 进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器。
    • 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入7001 deny t3 t3s保存生效。
    • 重启Weblogic项目,使配置生效。
  2. 如果不依赖IIOP协议进行JVM通信,禁用IIOP协议:

    • 进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面。
    • 选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。
    • 重启Weblogic项目,使配置生效。

通用修复建议

官方已发布安全版本,请及时下载升级至安全版本,链接如下:

https://www.oracle.com/security-alerts/cpujan2021.html

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章209
  • 作者收获粉丝7
  • 作者收到点赞0
  • 所有文章被收藏了1
  • 博客总访问量排行第2
  • 博客总访问量4.6 万(每日更新)
查看所有博文