Oracle多个产品高危漏洞

  • A+
所属分类:安全新闻

1.通告信息



2021年1月20日,安识科技A-Team团队监测到Oracle官方发布了大量安全补丁,涉及旗下产品(Database Server、Weblogic Server、Java SE、MySQL等)多个漏洞。
此次修复的漏洞中包括 8 个和 Weblogic 相关的高危漏洞(CVE-2019-17195、CVE-2021-1994、CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075、CVE-2019-10086、CVE-2021-2109)。对此,安识科技团队建议广大用户及时更新Weblogic Server的相关漏洞补丁。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。



2.漏洞概述



CVE-2019-17195:
v7.9之前的Connect2id Nimbus JOSE + JWT在解析JWT时可能引发各种异常,这可能导致应用程序崩溃(有可能信息泄露)或潜在的身份验证绕过。
CVE-2019-10086:
在Apache Commons Beanutils 1.9.2中,添加了一个特殊的BeanTransector类,它通过所有Java对象上可用的class属性访问classloader。然而,并没有默认地使用PropertyUtilsBean的这个特性。
CVE-2021-2109:
该漏洞在于允许攻击者可以通过控制JndiBindingHandle实例化的值(objectIdentifier)来实现JNDI注入,造成远程命令执行。
CVE-2021-1994、CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075 的CVSS评分均为 9.8。利用难度低,攻击者可借此实现远程代码执行,其中 CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075漏洞和 T3、IIOP 协议有关(T3、IIOP 协议用于在 WebLogic 和其他 Java 程序之间传输数据)。



3.漏洞危害



攻击者可利用这些高危漏洞绕过weblogic console身份验证,以及远程命令执行等等,从而获取服务器的控制权限。导致严重的安全隐患。



4.影响版本



漏洞影响的产品版本包括:
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0



5.解决方案



更新最新补丁,参考Oracle官网发布的补丁
https://www.oracle.com/security-alerts/cpujan2021.html



6.时间轴



【-】2021年1月20日 Oracle官方发布安全漏洞通告
【-】2021年1月20日 安识科技A-Team团队根据官网公告分析
【-】2021年1月20日 安识科技A-Team团队发布安全通告


本文始发于微信公众号(SecPulse安全脉搏):Oracle多个产品高危漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: