安全研究

漏洞預警 | Oracle多個産品高(gāo)危漏洞安全風(fēng)險通告

0x01 漏洞概述

近日,Oracle官方發布了(le)2021年1月份的安全更新,發布了(le)329個漏洞補丁,其中Oracle Fusion Middleware有60個漏洞補丁更新,主要涵蓋了(le)
  • Oracle Weblogic
  • Oracle Endeca Information Discovery Integrator
  • Oracle WebCenter Portal
  • Oracle BI Publisher
  • Oracle Business Intelligence Enterprise Edition

等産品,這(zhè)60個漏洞補丁中有47個漏洞無需身份驗證即可遠程利用(yòng)。


0x01 漏洞簡述

Oracle WebLogic Server

Weblogic本次更新了(le)多個反序列化漏洞,這(zhè)些(xiē)漏洞允許未經身份驗證的攻擊者通過HTTP、IIOP、T3協議(yì)發送構造好(hǎo)的惡意請(qǐng)求,從(cóng)而執行代碼。嚴重漏洞編号如下(xià):

  • CVE-2021-1994
  • CVE-2021-2047
  • CVE-2021-2064
  • CVE-2021-2108
  • CVE-2021-2075
  • CVE-2019-17195
  • Oracle Communications
12個新的安全補丁,其中的7個漏洞無需身份驗證即可遠程利用(yòng),即可以通過網絡利用(yòng)而無需用(yòng)戶憑據。嚴重漏洞編号如下(xià):
  • CVE-2019-7164
  • CVE-2020-24750
  • Oracle E-Business Suite
31個新的安全補丁,其中的29個漏洞無需身份驗證即可被遠程利用(yòng),即可以在不需要用(yòng)戶憑據的情況下(xià)通過網絡利用(yòng)這(zhè)些(xiē)漏洞。嚴重漏洞編号如下(xià):
  • CVE-2021-2029
  • CVE-2021-2100
  • CVE-2021-2101
  • Oracle Enterprise Manager
8個新的安全補丁,全部漏洞無需身份驗證即可遠程利用(yòng),即可以通過網絡利用(yòng)而無需用(yòng)戶憑據。嚴重漏洞編号如下(xià):
  • CVE-2019-13990
  • CVE-2020-11973
  • CVE-2016-1000031
  • CVE-2020-11984
  • CVE-2020-10683
  • Oracle Financial Services Applications
50個新的安全補丁,其中的41個漏洞無需身份驗證即可遠程利用(yòng),即可以在不需要用(yòng)戶憑據的情況下(xià)通過網絡利用(yòng)這(zhè)些(xiē)漏洞。嚴重漏洞編号如下(xià):
  • CVE-2020-11612
  • CVE-2019-10744
  • CVE-2020-8174
  • CVE-2019-3773
  • CVE-2019-0230
  • CVE-2020-1945
  • Oracle Retail Applications
32個新安全補丁,其中的20個漏洞無需身份驗證即可遠程利用(yòng),即可以在不需要用(yòng)戶憑據的情況下(xià)通過網絡利用(yòng)這(zhè)些(xiē)漏洞。嚴重漏洞編号如下(xià):
  • CVE-2020-10683
  • CVE-2020-9546
  • CVE-2020-9546
  • CVE-2020-1945
  • CVE-2020-5421
  • CVE-2017-8028
  • Oracle Database Server
8個新安全補丁,這(zhè)些(xiē)漏洞中的1個無需身份驗證即可遠程利用(yòng),即可以在不需要用(yòng)戶憑據的情況下(xià)通過網絡利用(yòng)這(zhè)些(xiē)漏洞。嚴重漏洞編号如下(xià):
  • CVE-2021-2035
  • CVE-2021-2018


0x02 詳情鏈接

https://www.oracle.com/security-alerts/cpujan2021.html



0x03 修複建議(yì)

目前官方已發布漏洞修複版本,建議(yì)用(yòng)戶升級到(dào)安全版本:
Oracle官方補丁需要登錄帳戶後下(xià)載。


Copyright © 2019 All Rights Reserved Designed
杭州安存網絡科技有限公司