Oracle 多个产品漏洞安全风险通告

admin

102202
文章

87
评论

2022年7月20日13:56:16评论38 views字数 5727阅读19分5秒阅读模式

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

安全通告

Oracle官方发布了2022年7月的关键安全补丁集合更新CPU（Critical Patch Update），修复了多个漏洞包括CVE-2022-21570、CVE-2022-21548、CVE-2021-23450、CVE-2022-23457、CVE-2022-22965等。其中CVE-2022-22965（Spring Framework 远程代码执行漏洞）、CVE-2021-23450（Dojo 原型污染漏洞）、CVE-2022-23457（OWASP ESAPI 路径遍历漏洞）影响较为严重，但均为引入第三方产品触发的历史漏洞。鉴于这些漏洞危害性较大，奇安信CERT建议客户尽快应用本次关键安全补丁集合（CPU）。

漏洞名称	Spring Framework 远程代码执行漏洞
公开时间	2022-03-29	更新时间	2022-07-20
CVE编号	CVE-2022-22965	其他编号	QVD-2022-1691
威胁类型	代码执行	技术类型	任意文件写入
厂商	Spring	产品	Spring Framework
风险等级
奇安信CERT风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
已公开	已公开	已发现	已公开
漏洞描述	Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方框架Spring Framework，在 JDK 9 及以上版本环境下，远程攻击者可利用该漏洞写入恶意代码，实现远程代码执行，成功利用此漏洞可导致 Oracle WebLogic Server 被接管。
影响版本	Spring Framework 5.3.X < 5.3.18 Spring Framework 5.2.X < 5.2.20 注：已停止维护的更小版本均受此漏洞影响
其他受影响组件	Oracle WebLogic Server == 12.2.1.3.0 Oracle WebLogic Server == 12.2.1.4.0 Oracle WebLogic Server == 14.1.1.0.0

漏洞名称	Dojo 原型污染漏洞
公开时间	2021-12-17	更新时间	2022-07-20
CVE编号	CVE-2021-23450	其他编号	QVD-2021-3594
威胁类型	代码执行	技术类型	原型污染
厂商	Dojo	产品	Dojo Toolkit
风险等级
奇安信CERT风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
已公开	未公开	未发现	未公开
漏洞描述	Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方工具Dojo，允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic Server，成功利用此漏洞可导致Oracle WebLogic Server 被接管。
影响版本	Dojo < 1.17.2
其他受影响组件	Oracle WebLogic Server == 12.2.1.4.0 Oracle WebLogic Server == 14.1.1.0.0

漏洞名称	OWASP ESAPI 路径遍历漏洞
公开时间	2022-07-20	更新时间	2022-07-20
CVE编号	CVE-2022-23457	其他编号	QVD-2022-5748
威胁类型	信息泄漏	技术类型	路径遍历
厂商	OWASP	产品	Enterprise Security API（ESAPI）
风险等级
奇安信CERT风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
未公开	未公开	未发现	已公开
漏洞描述	Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方产品 OWASP Enterprise Security API，允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic Server，成功利用此漏洞可导致 Oracle WebLogic Server 被接管。
影响版本	OWASP Enterprise Security API < 2.3.0.0
其他受影响组件	Oracle WebLogic Server==12.2.1.3.0 Oracle WebLogic Server==12.2.1.4.0 Oracle WebLogic Server==14.1.1.0.0

漏洞名称	Oracle Coherence拒绝服务漏洞
公开时间	2022-07-20	更新时间	2022-07-20
CVE编号	CVE-2022-21570	其他编号	QVD-2022-11444
威胁类型	拒绝服务	技术类型	不安全的反序列化
厂商	Oracle	产品	Coherence
风险等级
奇安信CERT风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
未公开	未公开	未发现	未公开
漏洞描述	Oracle Fusion Middleware 的 Oracle Coherence 中存在漏洞，允许未经身份验证的攻击者通过 T3、IIOP 访问来攻击服务器，成功利用此漏洞可能会导致 Oracle Coherence 挂起或频繁服务崩溃。
影响版本	Oracle Coherence==3.7.1.0 Oracle Coherence==12.2.1.3.0 Oracle Coherence==12.2.1.4.0 Oracle Coherence==14.1.1.0.0
其他受影响组件	无

漏洞名称	Oracle WebLogic Server拒绝服务漏洞
公开时间	2022-07-20	更新时间	2022-07-20
CVE编号	CVE-2022-21548	其他编号	QVD-2022-11445
威胁类型	拒绝服务	技术类型	不安全的反序列化
厂商	Oracle	产品	WebLogic Server
风险等级
奇安信CERT风险评级		风险等级
中危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
未公开	未公开	未发现	未公开
漏洞描述	Oracle Fusion Middleware的Oracle WebLogic Server中存在漏洞，允许未经身份验证的攻击者通过 T3、IIOP 访问来攻击Oracle WebLogic Server，成功利用此漏洞可导致对Oracle WebLogic Server 某些可访问数据的未经授权的更新、插入或删除，同时可造成一定程度的拒绝服务。
影响版本	Oracle WebLogic Server==12.2.1.3.0 Oracle WebLogic Server==12.2.1.4.0 Oracle WebLogic Server==14.1.1.0.0
其他受影响组件	无

威胁评估

漏洞名称	Spring Framework 远程代码执行漏洞
CVE编号	CVE-2022-22965	其他编号		QVD-2022-1691
CVSS 3.1评级	高危	CVSS 3.1分数		9.8
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	网络		低
	所需权限（PR）		用户交互（UI）
	不需要		不需要
	影响范围（S）		机密性影响（C）
	不变		高
	完整性影响（I）		可用性影响（A）
	高		高
危害描述	Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方框架Spring Framework，在 JDK 9 及以上版本环境下，远程攻击者可利用该漏洞写入恶意代码，实现远程代码执行，成功利用此漏洞可导致 Oracle WebLogic Server 被接管。

漏洞名称	Dojo 原型污染漏洞
CVE编号	CVE-2021-23450	其他编号		QVD-2021-3594
CVSS 3.1评级	高危	CVSS 3.1分数		9.8
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	网络		低
	所需权限（PR）		用户交互（UI）
	不需要		不需要
	影响范围（S）		机密性影响（C）
	不变		高
	完整性影响（I）		可用性影响（A）
	高		高
危害描述	Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方工具Dojo，允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic Server，成功利用此漏洞可导致 Oracle WebLogic Server 被接管。

漏洞名称	OWASP ESAPI 路径遍历漏洞
CVE编号	CVE-2022-23457	其他编号		QVD-2022-5748
CVSS 3.1评级	高危	CVSS 3.1分数		9.8
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	网络		低
	所需权限（PR）		用户交互（UI）
	不需要		不需要
	影响范围（S）		机密性影响（C）
	不变		高
	完整性影响（I）		可用性影响（A）
	高		高
危害描述	Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方产品 OWASP Enterprise Security API，允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic Server，成功利用此漏洞可导致 Oracle WebLogic Server 被接管。

漏洞名称	Oracle Coherence 拒绝服务漏洞
CVE编号	CVE-2022-21570	其他编号		QVD-2022-11444
CVSS 3.1评级	高危	CVSS 3.1分数		7.5
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	网络		低
	所需权限（PR）		用户交互（UI）
	不需要		不需要
	影响范围（S）		机密性影响（C）
	不变		无
	完整性影响（I）		可用性影响（A）
	无		高
危害描述	Oracle Coherence 的Core组件中存在漏洞，允许未经身份验证的攻击者通过 T3/IIOP 访问服务器来攻击 Oracle Coherence，成功利用此漏洞可能会导致 Oracle Coherence 挂起或DOS。

漏洞名称	Oracle WebLogic Server拒绝服务漏洞
CVE编号	CVE-2022-21548	其他编号		QVD-2022-11445
CVSS 3.1评级	中危	CVSS 3.1分数		6.5
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	网络		低
	所需权限（PR）		用户交互（UI）
	不需要		需要
	影响范围（S）		机密性影响（C）
	不变		无
	完整性影响（I）		可用性影响（A）
	低		低
危害描述	未经身份验证的攻击者可通过 T3、IIOP 进行网络访问来破坏 Oracle WebLogic Server。成功利用此漏洞可导致对 Oracle WebLogic Server 某些可访问数据的未经授权的更新、插入或删除，同时可造成一定程度的拒绝服务。

处置建议

请参考以下链接尽快修复：

https://www.oracle.com/security-alerts/cpujul2022.html

Oracle WebLogic Server升级方式

1. Oracle WebLogic Server 11g：

bsu.cmd -install -patch_download_dir=C:OracleMiddlewareutilsbsucache_dir -patchlist=3L3H -prod_dir=C:OracleMiddlewarewlserver_10.3

Oracle 多个产品漏洞安全风险通告

出现以上提示代表补丁安装成功。

2. Oracle WebLogic Server 12c：

使用opatch apply 安装补丁

C:OracleMiddlewareOracle_HomeOPatch>opatch apply 本机补丁地址

Oracle 多个产品漏洞安全风险通告

注：补丁编号请自行更改为新补丁编号。

若非必须开启，请禁用T3和IIOP协议。

禁用T3、IIOP协议具体操作步骤如下：

1. 禁用T3:

进入WebLogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。

Oracle 多个产品漏洞安全风险通告

在连接筛选器中输入：WebLogic.security.net.ConnectionFilterImpl，参考以下写法，在连接筛选器规则中配置符合企业实际情况的规则：

127.0.0.1 * * allow t3 t3s本机IP * * allow t3 t3s允许访问的IP * * allow t3 t3s * * * deny t3 t3s

连接筛选器规则格式如下：target localAddress localPort action protocols，其中：

target 指定一个或多个要筛选的服务器。

localAddress 可定义服务器的主机地址。(如果指定为一个星号 (*)，则返回的匹配结果将是所有本地 IP 地址。)

localPort 定义服务器正在监听的端口。(如果指定了星号，则匹配返回的结果将是服务器上所有可用的端口)。

action 指定要执行的操作。(值必须为“allow”或“deny”。)

protocols 是要进行匹配的协议名列表。(必须指定下列其中一个协议：http、https、t3、t3s、giop、giops、dcom 或 ftp。) 如果未定义协议，则所有协议都将与一个规则匹配。

保存后若规则未生效，建议重新启动WebLogic服务（重启WebLogic服务会导致业务中断，建议相关人员评估风险后，再进行操作）。以Windows环境为例，重启服务的步骤如下：

进入域所在目录下的bin目录，在Windows系统中运行stopWebLogic.cmd文件终止WebLogic服务，Linux系统中则运行stopWebLogic.sh文件。

Oracle 多个产品漏洞安全风险通告

待终止脚本执行完成后，再运行 startWebLogic.cmd 或 startWebLogic.sh 文件启动WebLogic，即可完成WebLogic服务重启。

2. 禁用IIOP：

用户可通过关闭IIOP协议阻断针对利用IIOP协议漏洞的攻击，操作如下：

在WebLogic控制台中，选择“服务”->”AdminServer”->”协议”，取消“启用IIOP”的勾选。并重启WebLogic项目，使配置生效。

Oracle 多个产品漏洞安全风险通告

参考资料

[1]https://www.oracle.com/security-alerts/cpujul2022.html

时间线

2022年7月20日，奇安信 CERT发布安全风险通告。

点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

原文始发于微信公众号（奇安信 CERT）：Oracle 多个产品漏洞安全风险通告

左青龙
微信扫一扫

右白虎
微信扫一扫

Oracle 多个产品漏洞安全风险通告

用友-政务-FileDownload-任意文件读取漏洞复现

卡车卫星定位系统/user/create存在未授权密码重置漏洞

用友-U8-Cloud-TableInputOperServlet存在反序列化漏洞

CVE-2024-26503

致远互联 OA fileUpload.do 文件上传漏洞

某世界500强企业|存在通杀漏洞(0day)

CVE-2024-32409 POC

【Weblogic 文件上传漏洞（CVE-2019-2618）

Weblogic 任意文件读取漏洞（CVE-2019-2615)

用友U8 slbmbygr.jsp 存在sql注入

发表评论

在线咨询

微信