關(guān)于Oracle WebLogic Server多個(gè)高危漏洞預(yù)警

2021-10-20

一、概要

近日，華為云關(guān)注到Oracle官方發(fā)布了2021年第四季度安全補(bǔ)丁更新公告，披露了多款旗下產(chǎn)品的安全漏洞，包括4個(gè)Weblogic相關(guān)漏洞（CVE-2021-35617, CVE-2021-35620, CVE-2021-29425, CVE-2021-35552），其中CVE-2021-35617漏洞風(fēng)險(xiǎn)高，攻擊者通過發(fā)送構(gòu)造惡意的請求可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

華為云提醒使用Weblogic及Oracle相關(guān)產(chǎn)品的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：Oracle Critical Patch Update Advisory - October2021

本次Oracle季度安全更新共涉及419個(gè)安全漏洞，除Oracle Weblogic外，還包括Oracle Communications、Oracle Financial Services Applications 、Oracle Insurance Applications、Oracle MySQL等產(chǎn)品，具體漏洞信息請參考官方鏈接。

二、漏洞級別

漏洞級別：【嚴(yán)重】

（說明：漏洞級別共四級：一般、重要、嚴(yán)重、緊急）

三、Weblogic漏洞說明詳情

CVE編號	影響組件	嚴(yán)重程度	受影響版本
CVE-2021-35617	Coherence Container	嚴(yán)重	12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2021-35620	Core	重要	10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2021-29425	Console (Apache Commons IO)	一般	12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2021-35552	Diagnostics	一般	12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

（注：以上為weblogic漏洞，其他漏洞及詳情請參見Oracle官方說明） 

四、漏洞影響范圍

Oracle Weblogic、Oracle Communications、Oracle Financial Services Applications 、Oracle Insurance Applications、Oracle MySQL等產(chǎn)品

五、安全建議

官方已發(fā)布安全補(bǔ)丁更新，需用戶持有正版軟件的許可賬號，登陸https://support.oracle.com后，下載最新補(bǔ)丁。

若無法及時(shí)更新的用戶，可根據(jù)Oracle官方提供的修復(fù)建議通過取消攻擊所需的網(wǎng)絡(luò)協(xié)議或權(quán)限進(jìn)行緩解。

Weblogic高危漏洞（CVE-2021-35617）可通過禁用IIOP協(xié)議來對漏洞進(jìn)行緩解。

注意：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。