【漏洞通告】Oracle 多个产品安全漏洞

基本信息 :Oracle WebLogic Server是美国甲骨文（Oracle）公司的一款适用于云环境和传统环境的应用服务中间件，它提供了一个现代轻型开发平台，支持应用从开发到生产的整个生命周期管理，并简化了应用的部署和管理。

风险等级：高危                                            

漏洞类型:远程代码执行,拒绝服务漏洞,路径遍历        

漏洞编号：           

CVE-2022-22965,CVE-2021-23450,CVE-2022-23457,CVE-2022-21570,CVE-2022-21548

漏洞描述    

近日，飓风安全应急团队监测到Oracle官方发布了2022年7月的关键补丁程序更新CPU（Critical Patch Update），修复了Oracle多个产品的安全漏洞。其中以下漏洞值得关注：

1. CVE-2022-22965 Spring Framework 远程代码执行漏洞

漏洞类型：远程代码执行

风险等级：高危

漏洞描述：Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方框架Spring Framework，在 JDK 9 及以上版本环境下，远程攻击者可利用该漏洞写入恶意代码，实现远程代码执行，成功利用此漏洞可导致 Oracle WebLogic Server 被接管。

2. CVE-2021-23450 Dojo 原型污染漏洞

漏洞类型：远程代码执行

风险等级：高危

漏洞描述：Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方工具Dojo，允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic Server，成功利用此漏洞可导致Oracle WebLogic Server 被接管。

3. CVE-2022-23457 OWASP ESAPI 路径遍历漏洞

漏洞类型：路径遍历

风险等级：高危

漏洞描述：Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方产品 OWASP Enterprise Security API。OWASP ESAPI中Validator.getValidDirectoryPath(String, String, File, boolean) 的默认实现可能会错误地将测试的输入字符串视为指定父目录的子目录。如果攻击可以指定表示"input"路径的整个字符串，这可能会导致控流检查被绕过。

4. CVE-2022-21570 Oracle Coherence拒绝服务漏洞

漏洞类型：拒绝服务

风险等级：高危

漏洞描述：Oracle Fusion Middleware 的 Oracle Coherence 中存在漏洞，允许未经身份验证的攻击者通过 T3、IIOP 访问来攻击服务器，成功利用此漏洞可能会导致 Oracle Coherence 挂起或频繁服务崩溃。

5. CVE-2022-21548 Oracle WebLogic Server拒绝服务漏洞

漏洞类型：拒绝服务

风险等级：中危

漏洞描述：Oracle Fusion Middleware的Oracle WebLogic Server中存在漏洞，允许未经身份验证的攻击者通过 T3、IIOP 访问来攻击Oracle WebLogic Server，成功利用此漏洞可导致对Oracle WebLogic Server 某些可访问数据的未经授权的更新、插入或删除，同时可造成一定程度的拒绝服务。

【受影响版本】

• Oracle WebLogic Server == 12.2.1.3.0

• Oracle WebLogic Server == 12.2.1.4.0

• Oracle WebLogic Server == 14.1.1.0.0

• Oracle Coherence==3.7.1.0

• Oracle Coherence==12.2.1.3.0

• Oracle Coherence==12.2.1.4.0

• Oracle Coherence==14.1.1.0.0

影响范围        

Oracle WebLogic Server == 12.2.1.3.0

Oracle WebLogic Server == 12.2.1.4.0

Oracle WebLogic Server == 14.1.1.0.0

Oracle Coherence==3.7.1.0

Oracle Coherence==12.2.1.3.0

Oracle Coherence==12.2.1.4.0

Oracle Coherence==14.1.1.0.0

解决方案    

修复建议            

临时修复建议:

针对通过 T3/IIOP 协议访问服务器来攻击weblogic的漏洞临时修复建议:

1.如果不依赖T3协议进行JVM通信，禁用T3协议：

• 进入WebLogic控制台，在base_domain配置页面中，进入安全选项卡页面，点击筛选器，配置筛选器。

• 在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则框中输入7001 deny t3 t3s保存生效。

• 重启Weblogic项目，使配置生效。

2.如果不依赖IIOP协议进行JVM通信，禁用IIOP协议：

• 进入WebLogic控制台，在base_domain配置页面中，进入安全选项卡页面。

• 选择“服务”->”AdminServer”->”协议”，取消“启用IIOP”的勾选。

• 重启Weblogic项目，使配置生效。

  
  

通用修复建议：

请参考oracle官网发布的补丁进行及时更新，其链接如下：

https://www.oracle.com/security-alerts/cpujul2022.html

原文始发于微信公众号（飓风网络安全）：【漏洞通告】Oracle 多个产品安全漏洞