2021年1月20日,安识科技A-Team团队监测到Oracle官方发布了大量安全补丁,涉及旗下产品(Database Server、Weblogic Server、Java SE、MySQL等)多个漏洞。
此次修复的漏洞中包括 8 个和 Weblogic 相关的高危漏洞(CVE-2019-17195、CVE-2021-1994、CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075、CVE-2019-10086、CVE-2021-2109)。对此,安识科技团队建议广大用户及时更新Weblogic Server的相关漏洞补丁。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
v7.9之前的Connect2id Nimbus JOSE + JWT在解析JWT时可能引发各种异常,这可能导致应用程序崩溃(有可能信息泄露)或潜在的身份验证绕过。
在Apache Commons Beanutils 1.9.2中,添加了一个特殊的BeanTransector类,它通过所有Java对象上可用的class属性访问classloader。然而,并没有默认地使用PropertyUtilsBean的这个特性。
该漏洞在于允许攻击者可以通过控制JndiBindingHandle实例化的值(objectIdentifier)来实现JNDI注入,造成远程命令执行。
CVE-2021-1994、CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075 的CVSS评分均为 9.8。利用难度低,攻击者可借此实现远程代码执行,其中 CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075漏洞和 T3、IIOP 协议有关(T3、IIOP 协议用于在 WebLogic 和其他 Java 程序之间传输数据)。
攻击者可利用这些高危漏洞绕过weblogic console身份验证,以及远程命令执行等等,从而获取服务器的控制权限。导致严重的安全隐患。
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
https://www.oracle.com/security-alerts/cpujan2021.html
【-】2021年1月20日 Oracle官方发布安全漏洞通告
【-】2021年1月20日 安识科技A-Team团队根据官网公告分析
【-】2021年1月20日 安识科技A-Team团队发布安全通告
本文始发于微信公众号(SecPulse安全脉搏):Oracle多个产品高危漏洞
评论