安全通告
CVE编号 |
影响组件 |
协议 |
是否远程未授权利用 |
CVSS |
受影响版本 |
CVE-2022-45047 |
Oracle Coherence: End-User Documentation (Apache Mina SSHD) |
SSH |
是 |
9.8 |
14.1.1.0.0 |
CVE-2022-42920 |
Oracle WebLogic Server: Centralized Third party Jars (Apache Commons BCEL) |
HTTP |
是 |
9.8 |
12.2.1.3.0, 12.2.1.4.0 |
CVE-2023-21842 |
Oracle WebLogic Server(Web Container) |
HTTP |
是 |
7.5 |
12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2023-21837 |
Oracle WebLogic Server(Core) |
IIOP |
是 |
7.5 |
12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2023-21838 |
Oracle WebLogic Server(Core) |
T3, IIOP |
是 |
7.5 |
12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2023-21839 |
Oracle WebLogic Server(Core) |
T3, IIOP |
是 |
7.5 |
12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2023-21841 |
Oracle WebLogic Server(Core) |
T3, IIOP |
是 |
7.5 |
12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2023-21886 |
Oracle VM VirtualBox(core) |
Multiple |
是 |
8.1 |
< 6.1.42 < 7.0.6 |
其中,Oracle Coherence引入的Apache MINA SSHD中存在反序列化漏洞,Oracle WebLogic Server引入的Apache Commons BCEL中存在越界写入漏洞,这两个漏洞值得关注:
1. Apache MINA SSHD 反序列化漏洞(CVE-2022-45047)
漏洞名称 |
Apache MINA SSHD 反序列化漏洞 |
||||
漏洞类型 |
代码执行 |
风险等级 |
高危 |
漏洞ID |
CVE-2022-45047 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
Apache MINA SSHD 中存在反序列化漏洞,在org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider类中将对java.security.PrivateKey进行序列化,远程攻击者可利用此漏洞在目标服务器上通过加载可控的 PrivateKey 执行恶意代码。其中Oracle Coherence中引入此依赖,若成功利用此漏洞可能导致接管Oracle Coherence。 | ||||
参考链接 |
|||||
https://www.oracle.com/security-alerts/cpujan2023.html |
2. Apache Commons BCEL越界写入漏洞(CVE-2022-42920)
漏洞名称 |
Apache Commons BCEL越界写入漏洞 |
||||
漏洞类型 |
代码执行;拒绝服务 |
风险等级 |
高危 |
漏洞ID |
CVE-2022-42920 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
Apache Commons BCEL 中由于未对写入常量池的常量数量进行限制从而导致越界写入漏洞。由于Apache Commons BCEL中具有大量修改Java类的API,攻击者可利用这些API生成任意字节码,从而造成程序拒绝服务或任意代码执行。其中Oracle WebLogic Server中引入此依赖,若成功利用此漏洞可能导致接管Oracle WebLogic服务器。 |
||||
参考链接 |
|||||
https://www.oracle.com/security-alerts/cpujan2023.html |
CVE编号 |
受影响版本 |
CVE-2022-45047 |
Oracle Coherence 14.1.1.0.0 |
CVE-2022-42920 |
Oracle WebLogic Server 12.2.1.3.0, Oracle WebLogic Server 12.2.1.4.0 |
CVE-2023-21842 |
Oracle WebLogic Server 12.2.1.3.0, Oracle WebLogic Server 12.2.1.4.0, Oracle WebLogic Server 14.1.1.0.0 |
CVE-2023-21837 |
Oracle WebLogic Server 12.2.1.3.0, Oracle WebLogic Server 12.2.1.4.0, Oracle WebLogic Server 14.1.1.0.0 |
CVE-2023-21838 |
Oracle WebLogic Server 12.2.1.3.0, Oracle WebLogic Server 12.2.1.4.0, Oracle WebLogic Server 14.1.1.0.0 |
CVE-2023-21839 |
Oracle WebLogic Server 12.2.1.3.0, Oracle WebLogic Server 12.2.1.4.0, Oracle WebLogic Server 14.1.1.0.0 |
CVE-2023-21841 |
Oracle WebLogic Server 12.2.1.3.0, Oracle WebLogic Server 12.2.1.4.0, Oracle WebLogic Server 14.1.1.0.0 |
CVE-2023-21886 |
Oracle VM VirtualBox < 6.1.42 Oracle VM VirtualBox < 7.0.6 |
请参考以下链接尽快修复:
https://www.oracle.com/security-alerts/cpujan2023.html
Oracle WebLogic Server升级方式
bsu.cmd -install -patch_download_dir=C:OracleMiddlewareutilsbsucache_dir -patchlist=3L3H -prod_dir=C:OracleMiddlewarewlserver_10.3
C:OracleMiddlewareOracle_HomeOPatch>opatch apply 本机补丁地址
注:补丁编号请自行更改为新补丁编号。
若非必须开启,请禁用T3和IIOP协议。
禁用T3、IIOP协议具体操作步骤如下:
127.0.0.1 * * allow t3 t3s
本机IP * * allow t3 t3s
允许访问的IP * * allow t3 t3s
* * * deny t3 t3s
[1]https://www.oracle.com/security-alerts/cpujan2023.html
2023年1月18日,奇安信 CERT发布安全风险通告。
原文始发于微信公众号(奇安信 CERT):Oracle多个产品高危漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论