GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】Oracle 1月多个安全缝隙

颁布功夫 2021-01-20

0x00 缝隙概述

2021年01月19日，Oracle颁布了1月份的安全更新，本次颁布的安全更新共计329个，涉及Oracle E-Business Suite、Fusion Middleware、MySQL、Database、Java SE、Oracle Construction and Engineering Suite等多个产品和组件。

0x01 缝隙详情

部门缝隙列表如下：

Oracle E-Business Suite

CVE	产品	组件	CVSS评分	严沉水平	影响领域
CVE-2021-2029	Oracle Scripting	Miscellaneous	9.8	严沉	12.1.1-12.1.3, 12.2.3-12.2.8
CVE-2021-2100	Oracle One-to-One Fulfillment	Print Server	9.1	严沉	12.1.1-12.1.3, 12.2.3-12.2.10
CVE-2021-2101	Oracle One-to-One Fulfillment	Print Server	9.1	严沉	12.1.1-12.1.3, 12.2.3-12.2.10

Oracle Fusion Middleware

CVE	产品	组件	CVSS评分	严沉水平	影响领域
CVE-2021-1994	Oracle WebLogic Server	Web Services	9.8	严沉	10.3.6.0.0, 12.1.3.0.0
CVE-2021-2047	Oracle WebLogic Server	Core Components	9.8	严沉	10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2021-2064	Oracle WebLogic Server	Core Components	9.8	严沉	12.1.3.0.0
CVE-2021-2108	Oracle WebLogic Server	Core Components	9.8	严沉	12.1.3.0.0
CVE-2021-2075	Oracle WebLogic Server	Samples	9.8	严沉	10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2021-2109	Oracle WebLogic Server	Console	7.2	高危	10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2019-17195	Oracle WebLogic Server	Core Components (Connect2id Nimbus JOSE+JWT)	9.8	严沉	12.2.1.3.0, 12.2.1.4.0
CVE-2019-10086	Oracle WebLogic Server	Console (Apache Commons Beanutils)	7.3	高危	10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0

Oracle MySQL

CVE	产品	组件	CVSS评分	严沉水平	影响领域
CVE-2021-2046	MySQL Server	Server: Stored Procedure	6.8	中危	8.0.22 and prior
CVE-2021-2020	MySQL Server	Server: Optimizer	6.5	中危	8.0.20 and prior
CVE-2021-2024	MySQL Server	Server: Optimizer	6.5	中危	8.0.22 and prior

WebLogic Server反序列化缝隙（CVE-2021-1994、CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075、CVE-2019-17195和CVE-2019-10086）

这些缝隙是Weblogic中的多个反序列化漏。攻击者能够通过HTTP、IIOP、T3和谈发送恶意要求来利用此缝隙，成功利用此缝隙的攻击者最终能够节造WebLogic Server或远程执行代码。

WebLogic Server远程代码执行缝隙（CVE-2021-2109）

该缝隙存在于WebLogic Server的console中，其CVSS评分7.2。攻击者能够通过JNDI注入攻击来远程执行号令或代码。

影响领域

10.3.6.0.0

12.1.3.0.0

12.2.1.3.0

12.2.1.4.0

14.1.1.0.0

0x02 措置建议

建议参考Oracle官方颁布的安全布告升级至最新版本。

一时措施

禁用T3和谈

具体操作：

1）进入WebLogic节造台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入衔接筛选器配置。

2)在衔接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在衔接筛选器规定中输入：127.0.0.1 * * allow t3t3s，0.0.0.0/0 * *deny t3 t3s(t3和t3s和谈的所有端口只允许本地接见)。

3）保留后需沉新启动，规定方可生效。

禁用IIOP和谈

登陆WebLogic节造台，base_domain >服务器概要 >AdminServer

0x03 参考链接

https://www.oracle.com/security-alerts/cpujan2021.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1994

0x04 功夫线

2021-01-19 Oracle颁布安全更新

2021-01-20 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】