0x01 漏洞概述
近日,Oracle官方發布了2021年1月份的安全更新,發布了329個漏洞補丁,其中(zhōng)Oracle Fusion Middleware有60個漏洞補丁更新,主要涵蓋了
-
Oracle Weblogic
-
Oracle Endeca Information Discovery Integrator
-
Oracle WebCenter Portal
-
Oracle BI Publisher
-
Oracle Business Intelligence Enterprise Edition
等産品,這60個漏洞補丁中(zhōng)有47個漏洞無需身份驗證即可遠程利用。
0x01 漏洞簡述
Oracle WebLogic Server
Weblogic本次更新了多個反序列化漏洞,這些漏洞允許未經身份驗證的攻擊者通過HTTP、IIOP、T3協議發送構造好的惡意請求,從而執行代碼。嚴重漏洞編号如下(xià):
-
CVE-2021-1994
-
CVE-2021-2047
-
CVE-2021-2064
-
CVE-2021-2108
-
CVE-2021-2075
-
CVE-2019-17195
-
Oracle Communications
12個新的安全補丁,其中(zhōng)的7個漏洞無需身份驗證即可遠程利用,即可以通過網絡利用而無需用戶憑據。嚴重漏洞編号如下(xià):
-
CVE-2019-7164
-
CVE-2020-24750
-
Oracle E-Business Suite
31個新的安全補丁,其中(zhōng)的29個漏洞無需身份驗證即可被遠程利用,即可以在不需要用戶憑據的情況下(xià)通過網絡利用這些漏洞。嚴重漏洞編号如下(xià):
-
CVE-2021-2029
-
CVE-2021-2100
-
CVE-2021-2101
-
Oracle Enterprise Manager
8個新的安全補丁,全部漏洞無需身份驗證即可遠程利用,即可以通過網絡利用而無需用戶憑據。嚴重漏洞編号如下(xià):
-
CVE-2019-13990
-
CVE-2020-11973
-
CVE-2016-1000031
-
CVE-2020-11984
-
CVE-2020-10683
-
Oracle Financial Services Applications
50個新的安全補丁,其中(zhōng)的41個漏洞無需身份驗證即可遠程利用,即可以在不需要用戶憑據的情況下(xià)通過網絡利用這些漏洞。嚴重漏洞編号如下(xià):
-
CVE-2020-11612
-
CVE-2019-10744
-
CVE-2020-8174
-
CVE-2019-3773
-
CVE-2019-0230
-
CVE-2020-1945
-
Oracle Retail Applications
32個新安全補丁,其中(zhōng)的20個漏洞無需身份驗證即可遠程利用,即可以在不需要用戶憑據的情況下(xià)通過網絡利用這些漏洞。嚴重漏洞編号如下(xià):
-
CVE-2020-10683
-
CVE-2020-9546
-
CVE-2020-9546
-
CVE-2020-1945
-
CVE-2020-5421
-
CVE-2017-8028
-
Oracle Database Server
8個新安全補丁,這些漏洞中(zhōng)的1個無需身份驗證即可遠程利用,即可以在不需要用戶憑據的情況下(xià)通過網絡利用這些漏洞。嚴重漏洞編号如下(xià):
-
CVE-2021-2035
-
CVE-2021-2018
https://www.oracle.com/security-alerts/cpujan2021.html
0x03 修複建議
目前官方已發布漏洞修複版本,建議用戶升級到安全版本:Oracle官方補丁需要登錄帳戶後下(xià)載。