Oracle 多个产品漏洞安全风险通告

admin
admin
admin
137435
文章
113
评论
2022年7月20日13:56:16评论48 views字数 5727阅读19分5秒阅读模式
Oracle 多个产品漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



Oracle官方发布了2022年7月的关键安全补丁集合更新CPU(Critical Patch Update),修复了多个漏洞包括CVE-2022-21570、CVE-2022-21548、CVE-2021-23450、CVE-2022-23457、CVE-2022-22965等。其中CVE-2022-22965(Spring Framework 远程代码执行漏洞)、CVE-2021-23450(Dojo 原型污染漏洞)、CVE-2022-23457(OWASP ESAPI 路径遍历漏洞)影响较为严重,但均为引入第三方产品触发的历史漏洞。鉴于这些漏洞危害性较大,奇安信CERT建议客户尽快应用本次关键安全补丁集合(CPU)。


漏洞名称

Spring Framework 远程代码执行漏洞

公开时间

2022-03-29

更新时间

2022-07-20

CVE编号

CVE-2022-22965

其他编号

QVD-2022-1691

威胁类型

代码执行

技术类型

任意文件写入

厂商

Spring

产品

Spring   Framework

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

已公开

已公开

已发现

已公开

漏洞描述

Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方框架Spring Framework,在 JDK 9 及以上版本环境下,远程攻击者可利用该漏洞写入恶意代码,实现远程代码执行,成功利用此漏洞可导致 Oracle WebLogic Server 被接管。

影响版本

Spring Framework 5.3.X < 5.3.18

Spring Framework 5.2.X < 5.2.20

注:已停止维护的更小版本均受此漏洞影响

其他受影响组件

Oracle WebLogic Server == 12.2.1.3.0

Oracle WebLogic Server == 12.2.1.4.0

Oracle WebLogic Server == 14.1.1.0.0


漏洞名称

Dojo 原型污染漏洞

公开时间

2021-12-17

更新时间

2022-07-20

CVE编号

CVE-2021-23450

其他编号

QVD-2021-3594

威胁类型

代码执行

技术类型

原型污染

厂商

Dojo

产品

Dojo Toolkit

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

已公开

未公开

未发现

未公开

漏洞描述

Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方工具Dojo,允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic Server,成功利用此漏洞可导致Oracle WebLogic  Server 被接管。

影响版本

Dojo < 1.17.2

其他受影响组件

Oracle WebLogic Server == 12.2.1.4.0

Oracle WebLogic Server == 14.1.1.0.0


漏洞名称

OWASP ESAPI 路径遍历漏洞

公开时间

2022-07-20

更新时间

2022-07-20

CVE编号

CVE-2022-23457

其他编号

QVD-2022-5748

威胁类型

信息泄漏

技术类型

路径遍历

厂商

OWASP

产品

Enterprise Security API(ESAPI)

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未公开

未公开

未发现

已公开

漏洞描述

Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方产品 OWASP Enterprise Security API,允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic Server,成功利用此漏洞可导致 Oracle WebLogic Server 被接管。

影响版本

OWASP Enterprise Security API < 2.3.0.0

其他受影响组件

Oracle WebLogic Server==12.2.1.3.0

Oracle WebLogic Server==12.2.1.4.0

Oracle WebLogic Server==14.1.1.0.0


漏洞名称

Oracle Coherence拒绝服务漏洞

公开时间

2022-07-20

更新时间

2022-07-20

CVE编号

CVE-2022-21570

其他编号

QVD-2022-11444

威胁类型

拒绝服务

技术类型

不安全的反序列化

厂商

Oracle

产品

Coherence

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未公开

未公开

未发现

未公开

漏洞描述

Oracle Fusion Middleware 的 Oracle Coherence 中存在漏洞,允许未经身份验证的攻击者通过 T3、IIOP 访问来攻击服务器,成功利用此漏洞可能会导致 Oracle Coherence 挂起或频繁服务崩溃。

影响版本

Oracle Coherence==3.7.1.0

Oracle Coherence==12.2.1.3.0

Oracle Coherence==12.2.1.4.0

Oracle Coherence==14.1.1.0.0

其他受影响组件


漏洞名称

Oracle WebLogic Server拒绝服务漏洞

公开时间

2022-07-20

更新时间

2022-07-20

CVE编号

CVE-2022-21548

其他编号

QVD-2022-11445

威胁类型

拒绝服务

技术类型

不安全的反序列化

厂商

Oracle

产品

WebLogic Server

风险等级

奇安信CERT风险评级

风险等级

中危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未公开

未公开

未发现

未公开

漏洞描述

Oracle Fusion Middleware的Oracle WebLogic Server中存在漏洞,允许未经身份验证的攻击者通过 T3、IIOP 访问来攻击Oracle WebLogic Server,成功利用此漏洞可导致对Oracle WebLogic Server 某些可访问数据的未经授权的更新、插入或删除,同时可造成一定程度的拒绝服务。

影响版本

Oracle WebLogic Server==12.2.1.3.0

Oracle WebLogic Server==12.2.1.4.0

Oracle WebLogic Server==14.1.1.0.0

其他受影响组件



威胁评估

漏洞名称

Spring Framework 远程代码执行漏洞

CVE编号

CVE-2022-22965

其他编号

QVD-2022-1691

CVSS 3.1评级

高危

CVSS 3.1分数

9.8

CVSS向量

访问途径(AV)

攻击复杂度(AC)

网络

所需权限(PR)

用户交互(UI)

不需要

不需要

影响范围(S)

机密性影响(C)

不变

完整性影响(I)

可用性影响(A)

危害描述

Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方框架Spring Framework,在 JDK 9 及以上版本环境下,远程攻击者可利用该漏洞写入恶意代码,实现远程代码执行,成功利用此漏洞可导致 Oracle WebLogic Server 被接管。


漏洞名称

Dojo 原型污染漏洞

CVE编号

CVE-2021-23450

其他编号

QVD-2021-3594

CVSS 3.1评级

高危

CVSS 3.1分数

9.8

CVSS向量

访问途径(AV)

攻击复杂度(AC)

网络

所需权限(PR)

用户交互(UI)

不需要

不需要

影响范围(S)

机密性影响(C)

不变

完整性影响(I)

可用性影响(A)

危害描述

Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方工具Dojo,允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic Server,成功利用此漏洞可导致 Oracle WebLogic Server 被接管。


漏洞名称

OWASP ESAPI 路径遍历漏洞

CVE编号

CVE-2022-23457

其他编号

QVD-2022-5748

CVSS 3.1评级

高危

CVSS 3.1分数

9.8

CVSS向量

访问途径(AV)

攻击复杂度(AC)

网络

所需权限(PR)

用户交互(UI)

不需要

不需要

影响范围(S)

机密性影响(C)

不变

完整性影响(I)

可用性影响(A)

危害描述

Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方产品 OWASP Enterprise Security API,允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic Server,成功利用此漏洞可导致 Oracle WebLogic Server 被接管。


漏洞名称

Oracle Coherence 拒绝服务漏洞

CVE编号

CVE-2022-21570

其他编号

QVD-2022-11444

CVSS 3.1评级

高危

CVSS 3.1分数

7.5

CVSS向量

访问途径(AV)

攻击复杂度(AC)

网络

所需权限(PR)

用户交互(UI)

不需要

不需要

影响范围(S)

机密性影响(C)

不变

完整性影响(I)

可用性影响(A)

危害描述

Oracle Coherence 的Core组件中存在漏洞,允许未经身份验证的攻击者通过 T3/IIOP 访问服务器来攻击 Oracle Coherence,成功利用此漏洞可能会导致 Oracle Coherence  挂起或DOS。


漏洞名称

Oracle WebLogic Server拒绝服务漏洞

CVE编号

CVE-2022-21548

其他编号

QVD-2022-11445

CVSS 3.1评级

中危

CVSS 3.1分数

6.5

CVSS向量

访问途径(AV)

攻击复杂度(AC)

网络

所需权限(PR)

用户交互(UI)

不需要

需要

影响范围(S)

机密性影响(C)

不变

完整性影响(I)

可用性影响(A)

危害描述

未经身份验证的攻击者可通过 T3、IIOP 进行网络访问来破坏 Oracle WebLogic Server。成功利用此漏洞可导致对 Oracle WebLogic Server 某些可访问数据的未经授权的更新、插入或删除,同时可造成一定程度的拒绝服务。



处置建议

请参考以下链接尽快修复:

https://www.oracle.com/security-alerts/cpujul2022.html


Oracle WebLogic Server升级方式

1. Oracle WebLogic Server 11g:

bsu.cmd -install -patch_download_dir=C:OracleMiddlewareutilsbsucache_dir -patchlist=3L3H -prod_dir=C:OracleMiddlewarewlserver_10.3

Oracle 多个产品漏洞安全风险通告

出现以上提示代表补丁安装成功。


2. Oracle WebLogic Server 12c:

使用opatch apply 安装补丁

C:OracleMiddlewareOracle_HomeOPatch>opatch apply 本机补丁地址

Oracle 多个产品漏洞安全风险通告

Oracle 多个产品漏洞安全风险通告

 注:补丁编号请自行更改为新补丁编号。


若非必须开启,请禁用T3和IIOP协议。

禁用T3、IIOP协议具体操作步骤如下:

1. 禁用T3:

进入WebLogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。

Oracle 多个产品漏洞安全风险通告

 
在连接筛选器中输入:WebLogic.security.net.ConnectionFilterImpl,参考以下写法,在连接筛选器规则中配置符合企业实际情况的规则:
127.0.0.1 * * allow t3 t3s本机IP * * allow t3 t3s允许访问的IP * * allow t3 t3s * * * deny t3 t3s
连接筛选器规则格式如下:target localAddress localPort action protocols,其中:
target 指定一个或多个要筛选的服务器。
localAddress 可定义服务器的主机地址。(如果指定为一个星号 (*),则返回的匹配结果将是所有本地 IP 地址。)
localPort 定义服务器正在监听的端口。(如果指定了星号,则匹配返回的结果将是服务器上所有可用的端口)。
action 指定要执行的操作。(值必须为“allow”或“deny”。)
protocols 是要进行匹配的协议名列表。(必须指定下列其中一个协议:http、https、t3、t3s、giop、giops、dcom 或 ftp。) 如果未定义协议,则所有协议都将与一个规则匹配。
保存后若规则未生效,建议重新启动WebLogic服务(重启WebLogic服务会导致业务中断,建议相关人员评估风险后,再进行操作)。以Windows环境为例,重启服务的步骤如下:
进入域所在目录下的bin目录,在Windows系统中运行stopWebLogic.cmd文件终止WebLogic服务,Linux系统中则运行stopWebLogic.sh文件。

Oracle 多个产品漏洞安全风险通告

待终止脚本执行完成后,再运行 startWebLogic.cmd 或 startWebLogic.sh 文件启动WebLogic,即可完成WebLogic服务重启。

2. 禁用IIOP:

用户可通过关闭IIOP协议阻断针对利用IIOP协议漏洞的攻击,操作如下:

在WebLogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启WebLogic项目,使配置生效。

Oracle 多个产品漏洞安全风险通告



参考资料

[1]https://www.oracle.com/security-alerts/cpujul2022.html


时间线

2022年7月20日,奇安信 CERT发布安全风险通告。


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

原文始发于微信公众号(奇安信 CERT):Oracle 多个产品漏洞安全风险通告

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月20日13:56:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Oracle 多个产品漏洞安全风险通告https://cn-sec.com/archives/1188307.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息