Oracle 4月多个安全漏洞

发布时间 2021-04-21

0x00 漏洞概述

2021年04月20日,Oracle发布了4月份的安全更新,本次发布的安全补丁共计390个,涉及Oracle Fusion Middleware、Oracle E-Business Suite、Oracle Communications Applications和Oracle MySQL等多个产品和组件。

 

0x01 漏洞详情

image.png

 

在本次发布的安全补丁中,Oracle Fusion Middleware相关的补丁为45个,其中36个漏洞无需身份验证即可远程利用。Weblogic Server部分漏洞详情如下:

Oracle WebLogic Server Coherence Container安全漏洞(CVE-2021-2135)

未经身份验证的攻击者可以通过T3或IIOP协议发送恶意请求,最终控制服务器。该漏洞无需用户交互即可利用,其CVSS评分为9.8。

影响范围

12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0

 

Oracle WebLogic Server Core安全漏洞(CVE-2021-2136)

未经身份验证的攻击者可以通过IIOP协议发送恶意请求,最终控制服务器。该漏洞无需用户交互即可利用,其CVSS评分为9.8。

影响范围

12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0

 

Oracle WebLogic Server TopLink Integration安全漏洞(CVE-2021-2157)

未经身份验证的攻击者可以通过HTTP发送恶意请求,最终可以未授权访问关键数据。该漏洞无需用户交互即可利用,其CVSS评分为7.5。

影响范围

10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0

 

此外,在Oracle本次发布的安全补丁中:

与Oracle Communications Applications相关的补丁为13个,其中CVE-2020-11612和CVE-2020-28052评分为9.8,攻击者无需经过身份验证即可利用包括这2个漏洞在内的12个安全漏洞。

与E-Business Suite相关的补丁为70个,其中CVE-2021-2200和CVE-2021-2205评分为9.1,攻击者无需经过身份验证即可远程利用包括这2个漏洞在内的22个安全漏洞。

与Oracle MySQL相关的补丁为49个,无需经过身份验证即可利用的漏洞为10个,其中CVE-2021-3449和CVE-2021-3450(均为MySQL Server中的OpenSSL问题)评分分别为7.5和7.4, CVE-2021-2307为MySQL for Windows中的权限提升漏洞,该漏洞需经过验证才能利用,其CVSS评分为6.1。

 

0x02 处置建议

目前Oracle已经发布相关安全补丁,建议尽快应用。

下载链接:

https://www.oracle.com/security-alerts/cpuapr2021.html

 

0x03 参考链接

https://www.oracle.com/security-alerts/cpuapr2021.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-2135

https://kb.cert.org/vuls/id/567764

 

0x04 时间线

2021-04-20  Oracle发布安全更新

2021-04-21  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png