2022年10月19日,Oracle发布了10月补丁更新公告,此次共发布了370个新安全补丁,涉及Oracle 和第三方组件中的漏洞。
0x01 漏洞详情
此次更新中共包含56个针对 Oracle 融合中间件的安全补丁,其中 43个漏洞无需身份验证即可被远程利用。其中影响Oracle WebLogic Server的漏洞如下:
|
CVE |
产品 |
涉及组件 |
协议 |
是否远程利用 |
CVSS评分 |
影响范围 |
|
CVE-2020-28052 |
Oracle WebLogic Server |
集中式第三方JAR(Bouncy Castle Java Library) |
TLS |
是 |
8.1 |
12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 |
|
CVE-2022-23437 |
Oracle WebLogic Server |
集中式第三方JAR(Apache Xerces-J) |
HTTP |
是 |
6.5 |
12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 |
|
CVE-2022-22971 |
Oracle WebLogic Server |
集中式第三方JAR(Apache Groovy) |
HTTP |
是 |
6.5 |
12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 |
|
CVE-2020-17521 |
Oracle WebLogic Server |
集中式第三方JAR(Spring Framework) |
None |
否 |
5.5 |
12.2.1.3.0、12.2.1.4.0 |
|
CVE-2022-22968 |
Oracle WebLogic Server |
Samples (Spring Framework) |
HTTP |
是 |
5.3 |
12.2.1.4.0、14.1.1.0.0 |
|
CVE-2022-21616 |
Oracle WebLogic Server |
Web Container |
None |
否 |
5.2 |
12.2.1.3.0、 12.2.1.4.0、14.1.1.0.0 |
|
CVE-2021-29425 |
Oracle WebLogic Server |
集中式第三方JAR(Commons IO) |
HTTP |
是 |
4.8 |
12.2.1.3.0、12.2.1.4.0、 14.1.1.0.0 |
CVE-2022-23437:Oracle WebLogic Server拒绝服务漏洞
Oracle WebLogic Server使用的集中式第三方Jar Apache Xerces Java(XercesJ)2.12.1及之前版本中的XML解析器在处理特制的XML文档Payload时存在漏洞,导致XercesJ的XML解析器在无限循环中等待,消耗系统资源并可能导致拒绝服务。
CVE-2022-22971:Oracle WebLogic Server拒绝服务漏洞
Oracle WebLogic Server使用的集中式第三方Jar Spring Framework版本5.3.0 - 5.3.19、5.2.0 - 5.2.21以及不受支持的旧版本中,带有STOMP over WebSocket端点的应用程序容易受到认证用户的拒绝服务攻击。
Oracle Enterprise Manager多个安全漏洞
Oracle共发布了5个适用于Oracle Enterprise Manager的安全更新,其中 4个漏洞无需身份验证即可被远程利用。最严重的漏洞包括:CVE-2018-1285、CVE-2021-23450、CVE-2022-21623等,其中CVE-2018-1285的CVSS评分为9.8,影响了Enterprise Manager Base Platform版本13.4.0.0。
Oracle Java SE多个漏洞
Oracle共发布了9个适用于Oracle Java SE的安全更新,这些漏洞都可以在没有身份验证的情况下被远程利用。最严重的漏洞包括:CVE-2022-32215 、CVE-2022-21634等,其中CVE-2022-32215的CVSS评分为9.1,影响了Oracle GraalVM 企业版:20.3.7、21.3.3和22.2.0。
Oracle MySQL多个安全漏洞
Oracle共发布了37个适用于 Oracle MySQL 的安全更新,其中 11个漏洞无需身份验证即可被远程利用。最严重的漏洞包括:CVE-2022-32207、CVE-2022-31129、CVE-2022-35737等,其中CVE-2022-32207的CVSS评分为9.8,影响了MySQL Enterprise Backup 4.1.4 及之前版本。
此外,Oracle还发布了Oracle E-Business Suite、JD Edwards、Database、Systems、Oracle Communications Messaging Server、HealthCare Applications、Oracle Construction and Engineering Suite、Virtualization等多个产品/系列和组件的安全更新,详情可参考官方公告。
0x02 处置建议
目前Oracle已经发布了相关漏洞的补丁集合,受影响用户可及时更新。
参考链接:
https://www.oracle.com/security-alerts/cpuoct2022.html
0x03 参考链接
https://www.oracle.com/security-alerts/cpuoct2022.html
https://nvd.nist.gov/vuln/detail/CVE-2022-22971
0x04 更新版本
|
|
|
|
|
|
|
|
0x05 附录
公司简介
启明星辰成立于1996年,是由留美博士严望佳女士创建的、拥有完全自主知识产权的信息安全高科技企业。是国内最具实力的信息安全产品、安全服务解决方案的领航企业之一。
公司总部位于北京市中关村软件园启明星辰大厦,公司员工6000余人,研发团队1200余人, 技术服务团队1300余人。在全国各省、市、自治区设立分支机构六十多个,拥有覆盖全国的销售体系、渠道体系和技术支持体系。公司于2010年6月23日在深圳中小板挂牌上市。(股票代码:002439)
多年来,启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。
关于我们
启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。
关注以下公众号,获取全球最新安全资讯:
原文始发于微信公众号(维他命安全):【漏洞通告】Oracle WebLogic Server 10月多个安全漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论