10 月补丁日:Oracle 多个产品漏洞安全风险通告
报告编号:B6-2021-102001
报告来源:360CERT
报告作者:360CERT
更新日期:2021-10-20
1 漏洞简述
2021年10月20日,360CERT监测发现Oracle官方
发布了2021年10月份
的风险通告,漏洞等级:严重
,漏洞评分:9.8
。
此次安全更新发布了419
个漏洞补丁,其中Oracle Fusion Middleware
有38
个漏洞补丁更新,主要涵盖了Oracle Weblogic Server
、Oracle Outside In Technology
、Oracle WebCenter Sites
、Oracle Business Intelligence Enterprise Edition
等产品。在本次更新的38
个漏洞补丁中,有30
个漏洞无需身份验证即可远程利用。
对此,360CERT建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2 风险等级
360CERT对该漏洞的评定结果如下
评定方式 | 等级 |
---|---|
威胁等级 | 严重 |
影响面 | 广泛 |
攻击者价值 | 高 |
利用难度 | 低 |
360CERT评分 | 9.8 |
3 漏洞详情
Oracle Weblogic Server多个严重漏洞
Weblogic本次更新了多个严重漏洞,这些漏洞允许未经身份验证的攻击者通过IIOP或HTTP协议发送构造好的恶意请求,从而在Oracle WebLogic Server执行代码或窃取关键数据。严重漏洞编号如下:
- CVE-2021-35617:未经身份验证的攻击者通过IIOP
协议发送恶意请求,最终接管服务器,评分9.8
- CVE-2018-8088:未经身份验证的攻击者通过HTTP
协议发送恶意请求,最终接管服务器,评分9.8
Oracle Communications(Oracle通信)多个严重漏洞
此重要补丁更新包含针对Oracle Communications 的71个新的安全补丁。其中的56个漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:
- CVE-2021-21345:未经身份验证的攻击者通过HTTP
协议发送恶意请求,最终接管Oracle Communications Policy Management
,评分9.9
- CVE-2021-21783:未经身份验证的攻击者通过HTTP
协议发送恶意请求,最终接管Oracle Communications Diameter Signaling Router
,评分9.8
- CVE-2021-21783:未经身份验证的攻击者通过HTTP
协议发送恶意请求,最终接管Oracle Communications EAGLE LNP Application Processor
,评分9.8
- CVE-2021-21783:未经身份验证的攻击者通过HTTP
协议发送恶意请求,最终接管Tekelec Virtual Operating Environment
,评分9.8
Oracle Financial Services Applications(Oracle金融服务应用软件)多个严重漏洞
此重要补丁更新包含针对Oracle Financial Services Applications
的44个新的安全补丁。其中的26个漏洞无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:
- CVE-2021-21345:未经身份验证的攻击者可以通过HTTP
发送恶意请求,最终接管Oracle Banking Virtual Account Management
,评分9.9
- CVE-2020-5413:未经身份验证的攻击者可以通过HTTP
发送恶意请求,最终接管Oracle Banking Corporate Lending Process Management
、Oracle Banking Credit Facilities Process Management
、Oracle Banking Supply Chain Finance
、Oracle Banking Virtual Account Management
,评分9.8
- CVE-2020-10683:未经身份验证的攻击者可以通过HTTP
发送恶意请求,最终接管Oracle FLEXCUBE Core Banking
,评分9.8
Oracle Insurance Applications(Oracle保险应用软件)多个严重漏洞
此重要补丁更新包含针对Oracle Insurance Applications
的16个新的安全补丁。其中的11个漏洞无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:
- CVE-2016-1000031:未经身份验证的攻击者可以通过HTTP
发送恶意请求,最终接管Oracle Documaker
,评分9.8
- CVE-2019-13990:未经身份验证的攻击者可以通过HTTP
发送恶意请求,最终接管Oracle Documaker
,评分9.8
- CVE-2020-10683:未经身份验证的攻击者可以通过HTTP
发送恶意请求,最终接管Oracle Documaker
,评分9.8
- CVE-2019-17195:未经身份验证的攻击者可以通过HTTP
发送恶意请求,最终接管Oracle Insurance Policy Administration
,评分9.8
Oracle MySQL 多个严重漏洞
此重要补丁更新包含针对Oracle MySQL
的66个新的安全补丁。其中的10个漏洞无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:
- CVE-2021-22931:未经身份验证的攻击者可以通过Multiple
发送恶意请求,最终接管MySQL Cluster
,评分9.8
- CVE-2021-3711:未经身份验证的攻击者可以通过MySQL Protocol
发送恶意请求,最终接管MySQL Server
,评分9.8
4 修复建议
通用修补建议
及时更新补丁,参考oracle官网发布的补丁:Oracle Critical Patch Update Advisory - October 2021。
临时修补建议
1. 如果不依赖T3协议进行JVM通信,禁用T3协议:
- 进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器。
- 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入7001 deny t3 t3s保存生效。
- 重启Weblogic项目,使配置生效。
2. 如果不依赖IIOP协议进行JVM通信,禁用IIOP协议:
- 进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面。
- 选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。
- 重启Weblogic项目,使配置生效。
5 时间线
2021-10-19 Oracle发布安全更新通告
2021-10-20 360CERT发布通告
6 参考链接
1、 Oracle Critical Patch Update Advisory - October 2021
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
轻量级 Java 基础开发框架,Solon & Solon Cloud 1.5.48 发布
Solon 已有120个生态扩展插件,此次更新主要为细节打磨: 增加 solon.serialization,做为序列化的基础插件 优化 所有Json序列化插件,使之可方便定制类型序列化 public class DemoApp { public static void main(String[] args){ Solon.start(DemoApp.class, args, app->{ initMvcJsonCustom(); }); } /** * 初始化json定制(需要在插件运行前定制) */ private static void initMvcJsonCustom() { //通过转换器,做简单类型的定制 SnackRenderFactory.global .addConvertor(Date.class, s -> s.getTime()); SnackRenderFactory.global .addConvertor(LocalDate.class, s -> s.format(DateTimeFormatt...
- 下一篇
宙斯盾 DDoS 防护系统“降本增效”的云原生实践
作者 tomdu,腾讯云高级工程师,主要负责宙斯盾安全防护系统管控中心架构设计和后台开发工作。 导语 宙斯盾 DDoS 防护系统作为公司级网络安全产品,为各类业务提供专业可靠的 DDoS/CC 攻击防护。在黑客攻防对抗日益激烈的环境下, DDoS 对抗不仅需要“降本”还需要“增效”。随着云原生的普及,宙斯盾团队持续投入云原生架构改造和优化,以提升系统的处理能力及效率。本文主要介绍宙斯盾防护调度平台上云过程实践与思考。 为什么上云? 云原生作为近年来相当热门的概念,无论在公司内各部门,还是公司外各大同行友商,都受到追捧。云原生涉及技术包括容器、微服务、 DevOps 、持续交付等,这些新的技术和理念能带来哪些收益?在我们看来, 资源共享,动态扩缩容——“降本” 以宙斯盾防护调度平台为例,因为以前申请的物理机资源还在服役期,所以当前大部分后台服务还是运行在物理机。申请时会适当预留 buffer (资源消耗跟外部攻击威胁有关,波峰波谷相差可达十倍)。这部分 buffer 虽然作为 backup ,但同时大部分时间处于空闲状态,物理机也不便于跨系统、项目共享。在资源上云阶段, CVM 已经对物...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7,8上快速安装Gitea,搭建Git服务器
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS关闭SELinux安全模块
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- CentOS8安装Docker,最新的服务器搭配容器使用
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Red5直播服务器,属于Java语言的直播服务器