1、漏洞背景描述
近日,Oracle 发布了 2021 年 7 月的安全更新补丁,包含 Oracle 产品系列中的 342 个新安全补丁。此次更新涉及 Oracle WebLogic Server 多个高危漏洞。
2、漏洞概述
1、CVE-2015-0254
该漏洞由第三方工具(Apache Standard Taglibs)引起。1.2.3版本之前的Apache Standard Taglibs 允许远程攻击者执行任意代码或进行外部xm l 实体 (XXE) 攻击。
2、CVE-2021-2376
该漏洞允许未经身份验证的攻击者通过T3、IIOP 访问网络来破坏Oracle WebLogic Server。成功攻击此漏洞可导致未经授权导致Oracle WebLogic Server 挂起或频繁重复崩溃(完全 DOS)。
3、CVE-2021-2378
该漏洞允许未经身份验证的攻击者通过T3、IIOP 访问网络来破坏Oracle WebLogic Server。成功攻击此漏洞可导致未经授权导致Oracle WebLogic Server 挂起或频繁重复崩溃(完全 DOS)。
4、CVE-2021-2382
该漏洞允许未经身份验证的攻击者通过T3、IIOP 访问网络来破坏Oracle WebLogic Server。成功攻击此漏洞可能会导致 OracleWebLogic Server 被接管。
5、CVE-2021-2394
该漏洞允许未经身份验证的攻击者通过T3、IIOP 访问网络来破坏Oracle WebLogic Server。成功攻击此漏洞可能会导致 OracleWebLogic Server 被接管。
6、CVE-2021-2397
该漏洞允许未经身份验证的攻击者通过T3、IIOP 访问网络来破坏Oracle WebLogic Server。成功攻击此漏洞可能会导致 OracleWebLogic Server 被接管。
7、CVE-2021-2403
该漏洞允许未经身份验证的攻击者通过HTTP 访问网络来破坏Oracle WebLogic Server。成功攻击此漏洞可能会导致对 OracleWebLogic Server 可访问数据的子集进行未经授权的读取访问。
3、漏洞风险
攻击者可利用该漏洞实现远程代码执行或发起拒绝服务攻击等。
4、漏洞影响
1、 CVE-2015-0254
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
2、 CVE-2021-2376
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
3、 CVE-2021-2378
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
4、 CVE-2021-2382
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
5、 CVE-2021-2394
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
6、 CVE-2021-2397
Weblogic Server10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
7、 CVE-2021-2403
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
5、修复建议
官方已发布漏洞修复更新,建议用户及时更新相关补丁避免安全风险。参考链接如下:
https://www.oracle.com/security-alerts/cpujul2021.html