关于Oracle发布2021年1月重要补丁更新的安全通告

admin 2022年10月2日05:32:40安全漏洞评论6 views1221字阅读4分4秒阅读模式

2021  1月)

一、情况概述

     Oracle发布2021年首个重要补丁更新包,本次更新含Oracle产品系列中的329个新安全补丁。自2020年10月重要补丁更新发布以来,Oracle已发布Oracle WebLogicServer安全警报:CVE-2020-14750(2020年11月1日)。强烈建议客户应用此重要补丁更新,其中包括此警报的补丁以及其他补丁。Oracle每季度发布一次重要更新,接下来的4个补丁发布日期为:2021年4月20日、2021年7月20日、2021年10月19日、2022年1月18日。

、漏洞危害

WebLogic是美国Oracle公司的主要产品之一,是商业市场上主要的 J2EE 应用服务器软件,也是世界上第一个成功商业化的J2EE应用服务器,在 Java 应用服务器中有非常广泛的部署和应用。

编号为CVE-2021-2109的Weblogic JNDI注入远程命令执行漏洞,值得各方高度关注。该漏洞风险为“高”,影响版本:Weblogic Server10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0。

针对weblogic漏洞的利用代码(POC)已在互联网上公开,建议用户尽快修补。Weblogic相关漏洞,是网络黑产最热衷使用的攻击武器之一,大量网站曾因此组件存在漏洞被入侵、控制、植入挖矿木马和勒索病毒

三、影响范围     

受影响版本

WeblogicServer 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0。

四、修复建议

建议受影响的用户参考Oracle官方网站的公告尽快修复。修复前请做好数据备份。

1.更新补丁,Oracle目前已发布补丁修复了上述漏洞,请用户参考官方通告及时下载受影响产品更新补丁,并参照补丁安装包中的readme文件进行安装更新,以保证长期有效的防护。

2.如果用户暂时无法安装更新补丁,可通过下列措施对漏洞(CVE-2020-14841),(CVE-2020-14825) 与(CVE-2020-14859)进行临时防护:

(1)用户可通过控制T3协议的访问来临时阻断针对利用T3协议漏洞的攻击;

(2)用户可通过关闭IIOP协议阻断针对利用IIOP协议漏洞的攻击。



 

 

 

附:参考链接:

https://www.oracle.com/security-alerts/cpujan2021.html

 

 

联系我们:潘伟
邮箱:[email protected]
Henan DingXin Information Security Service Co.,Ltd
河南省鼎信信息安全等级测评有限公司
地址:郑州市郑东新区七里河南路75号意中大厦18
电话:18603856066 邮编:450001


原文始发于微信公众号(鼎信安全):关于Oracle发布2021年1月重要补丁更新的安全通告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月2日05:32:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  关于Oracle发布2021年1月重要补丁更新的安全通告 http://cn-sec.com/archives/1082777.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: