【漏洞通告】Oracle 10月多个安全漏洞

发布时间 2021-10-20

0x00 漏洞概述

2021年10月19日,Oracle发布了10月份的安全更新,本次发布的安全更新共计419个,涉及Oracle Communications Applications 、Oracle E-Business Suite、Oracle Financial Services Applications、Oracle Enterprise Manager、Oracle Fusion Middleware、Oracle Java SE、Oracle MySQL和Oracle Systems等多个产品和组件。

 

0x01 漏洞详情

image.png

l  Oracle Fusion Middleware多个安全漏洞

Oracle此次共发布了38个适用于Oracle Fusion Middleware的安全更新,其中有 30个漏洞无需经过身份验证即可远程利用。本次发布的更新涉及多个Oracle WebLogic Server漏洞:CVE-2021-35617、CVE-2021-35620和CVE-2021-35552等,其中CVE-2021-35617的CVSS评分为9.8,攻击复杂度低,且无需用户交互。攻击者可以通过IIOP协议对Oracle WebLogic Server发起攻击,成功利用此漏洞的攻击者可以控制Oracle WebLogic Server。


l  Oracle Communications Applications多个安全漏洞

Oracle此次共发布了19个适用于 Oracle Communications Applications 的安全更新,其中有14个漏洞无需经过身份验证即可远程利用。其中严重漏洞包括CVE-2021-3177,其CVSS评分为9.8。

 

l  Oracle E-Business Suite多个安全漏洞

Oracle此次共发布了18个适用于Oracle E-Business Suite 的安全更新,其中有4个漏洞无需经过身份验证即可远程利用。其中包括CVE-2021-35566、CVE-2021-2483、CVE-2021-35536和CVE-2021-35585等11个高危漏洞,它们的CVSS评分均为8.1。

 

l  Oracle Enterprise Manager多个安全漏洞

Oracle此次共发布了8个适用于Oracle Enterprise Manager的安全更新,其中有5个漏洞无需经过身份验证即可远程利用。其中一个评级为严重的漏洞为CVE-2021-26691(CVSS评分为9.8),该漏洞的利用复杂度低,且无需用户交互。此外,Oracle还修复了包括CVE-2021-2137和CVE-2021-29505在内的其它7个安全漏洞。

 

l  Oracle Financial Services Applications多个安全漏洞

Oracle此次共发布了44个适用于Oracle Financial Services Applications的安全更新,其中有26个漏洞无需经过身份验证即可远程利用。其中严重漏洞包括CVE-2021-21345、CVE-2020-5413和CVE-2020-10683,它们的CVSS评分均为9.8。

 

l  Oracle Java SE多个安全漏洞

Oracle此次共发布了15个适用于Oracle Java SE的安全更新,其中有13个漏洞无需经过身份验证即可远程利用。其中高危漏洞包括CVE-2021-3517、CVE-2021-35560和CVE-2021-27290。其中,CVE-2021-3517和CVE-2021-35560影响了Java SE 8u301。

 

l  Oracle MySQL多个安全漏洞

Oracle此次共发布了66个适用于Oracle MySQL的安全更新,其中有10个漏洞无需经过身份验证即可远程利用。严重漏洞包括CVE-2021-22931(影响MySQL集群)和CVE-2021-3711(影响MySQL 服务器),这2个漏洞的CVSS评分均为9.8,攻击复杂度低,且无需用户交互。

 

l  Oracle Systems多个安全漏洞

Oracle此次共发布了5个适用于Oracle Systems的安全更新,其中有2个漏洞无需经过身份验证即可远程利用。严重漏洞包括CVE-2021-26691,其CVSS评分均为9.8,攻击复杂度低,且无需用户交互。此外,Oracle还发布了CVE-2021-35539、CVE-2021-35589、CVE-2021-35549和CVE-2020-1968等多个漏洞的补丁。

 

0x02 处置建议

目前Oracle已经发布了相关补丁,建议受影响的用户及时升级更新。

漏洞列表及影响范围请参考Oracle官方公告:

https://www.oracle.com/security-alerts/cpuoct2021.html

 

缓解措施

针对WebLogic,建议禁用T3协议或IIOP协议。

禁用T3协议,具体操作:

1)进入WebLogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。

2)在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:127.0.0.1 * * allow t3t3s,0.0.0.0/0 * *deny t3 t3s(t3和t3s协议的所有端口只允许本地访问)。

3)保存后需重新启动,规则方可生效。

image.png

 

禁用IIOP协议,具体操作:

登陆WebLogic控制台,base_domain >服务器概要 >AdminServer

image.png

 

0x03 参考链接

https://www.oracle.com/security-alerts/cpuoct2021.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22931

 

0x04 更新版本

版本

日期

修改内容

V1.0

2021-10-20

首次发布

 

0x05 文档附录

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

CVSS:www.first.org

NVD:nvd.nist.gov

 

0x06 关于大家

关注以下公众号,获取更多资讯:

image.png