0x01 漏洞概述
近日,Oracle官方发布了2021年1月份的安全更新,发布了329个漏洞补丁,其中Oracle Fusion Middleware有60个漏洞补丁更新,主要涵盖了
-
Oracle Weblogic
-
Oracle Endeca Information Discovery Integrator
-
Oracle WebCenter Portal
-
Oracle BI Publisher
-
Oracle Business Intelligence Enterprise Edition
等产品,这60个漏洞补丁中有47个漏洞无需身份验证即可远程利用。
0x01 漏洞简述
Oracle WebLogic Server
Weblogic本次更新了多个反序列化漏洞,这些漏洞允许未经身份验证的攻击者通过HTTP、IIOP、T3协议发送构造好的恶意请求,从而执行代码。严重漏洞编号如下:
-
CVE-2021-1994
-
CVE-2021-2047
-
CVE-2021-2064
-
CVE-2021-2108
-
CVE-2021-2075
-
CVE-2019-17195
-
Oracle Communications
12个新的安全补丁,其中的7个漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:
-
CVE-2019-7164
-
CVE-2020-24750
-
Oracle E-Business Suite
31个新的安全补丁,其中的29个漏洞无需身份验证即可被远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:
-
CVE-2021-2029
-
CVE-2021-2100
-
CVE-2021-2101
-
Oracle Enterprise Manager
8个新的安全补丁,全部漏洞无需身份验证即可远程利用,即可以通过网络利用而无需用户凭据。严重漏洞编号如下:
-
CVE-2019-13990
-
CVE-2020-11973
-
CVE-2016-1000031
-
CVE-2020-11984
-
CVE-2020-10683
-
Oracle Financial Services Applications
50个新的安全补丁,其中的41个漏洞无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:
-
CVE-2020-11612
-
CVE-2019-10744
-
CVE-2020-8174
-
CVE-2019-3773
-
CVE-2019-0230
-
CVE-2020-1945
-
Oracle Retail Applications
32个新安全补丁,其中的20个漏洞无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:
-
CVE-2020-10683
-
CVE-2020-9546
-
CVE-2020-9546
-
CVE-2020-1945
-
CVE-2020-5421
-
CVE-2017-8028
-
Oracle Database Server
8个新安全补丁,这些漏洞中的1个无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:
-
CVE-2021-2035
-
CVE-2021-2018
https://www.oracle.com/security-alerts/cpujan2021.html
0x03 修复建议
目前官方已发布漏洞修复版本,建议用户升级到安全版本: