Oracle 4月多个安全漏洞
发布时间 2021-04-210x00 漏洞概述
2021年04月20日,Oracle发布了4月份的安全更新,本次发布的安全补丁共计390个,涉及Oracle Fusion Middleware、Oracle E-Business Suite、Oracle Communications Applications和Oracle MySQL等多个产品和组件。
0x01 漏洞详情
在本次发布的安全补丁中,Oracle Fusion Middleware相关的补丁为45个,其中36个漏洞无需身份验证即可远程利用。Weblogic Server部分漏洞详情如下:
Oracle WebLogic Server Coherence Container安全漏洞(CVE-2021-2135)
未经身份验证的攻击者可以通过T3或IIOP协议发送恶意请求,最终控制服务器。该漏洞无需用户交互即可利用,其CVSS评分为9.8。
影响范围
12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0
Oracle WebLogic Server Core安全漏洞(CVE-2021-2136)
未经身份验证的攻击者可以通过IIOP协议发送恶意请求,最终控制服务器。该漏洞无需用户交互即可利用,其CVSS评分为9.8。
影响范围
12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0
Oracle WebLogic Server TopLink Integration安全漏洞(CVE-2021-2157)
未经身份验证的攻击者可以通过HTTP发送恶意请求,最终可以未授权访问关键数据。该漏洞无需用户交互即可利用,其CVSS评分为7.5。
影响范围
10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0
此外,在Oracle本次发布的安全补丁中:
与Oracle Communications Applications相关的补丁为13个,其中CVE-2020-11612和CVE-2020-28052评分为9.8,攻击者无需经过身份验证即可利用包括这2个漏洞在内的12个安全漏洞。
与E-Business Suite相关的补丁为70个,其中CVE-2021-2200和CVE-2021-2205评分为9.1,攻击者无需经过身份验证即可远程利用包括这2个漏洞在内的22个安全漏洞。
与Oracle MySQL相关的补丁为49个,无需经过身份验证即可利用的漏洞为10个,其中CVE-2021-3449和CVE-2021-3450(均为MySQL Server中的OpenSSL问题)评分分别为7.5和7.4, CVE-2021-2307为MySQL for Windows中的权限提升漏洞,该漏洞需经过验证才能利用,其CVSS评分为6.1。
0x02 处置建议
目前Oracle已经发布相关安全补丁,建议尽快应用。
下载链接:
https://www.oracle.com/security-alerts/cpuapr2021.html
0x03 参考链接
https://www.oracle.com/security-alerts/cpuapr2021.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-2135
https://kb.cert.org/vuls/id/567764
0x04 时间线
2021-04-20 Oracle发布安全更新
2021-04-21 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/