【風險提示】天融信關于Oracle多個產品高危漏洞風險提示

0x00背景介紹

1月20日,天融信阿爾法實驗室監測到Oracle官方于2021年1月20針對旗下眾多產品發布安全補丁，CVSS評分9.8分的漏洞共計45個，其中針對Oracle Coherence中存在的CVE編號為CVE-2020-14756的漏洞進行著重提醒，建議廣大Oracle用戶更新安全補丁。

0x01漏洞描述

Oracle Coherence為Oracle融合中間件中的產品，是業界領先的內存數據網格解決方案，它能為公司和組織提供對常用數據的快速訪問。在WebLogic 12c及以上版本中默認集成到WebLogic安裝包中。Oracle Coherence中的反序列化遠程代碼執行漏洞允許攻擊者在未經認證的情況下通過構造IIOP和T3協議進行遠程反序列化攻擊。

產品名稱:

Oracle Communications Operations Monitor

CVE編號: CVE-2019-7164, CVSS評分: 9.8

未經授權即可通過HTTP協議進行遠程攻擊。

產品名稱:

Enterprise Manager Base Platform

CVE編號: CVE-2019-13990, CVSS評分: 9.8

CVE編號: CVE-2020-11973, CVSS評分: 9.8

CVE編號: CVE-2016-1000031, CVSS評分: 9.8

以上三個漏洞均可在未授權的情況下通過構造HTTP報文來進行遠程攻擊。

產品名稱:

Oracle Coherence

CVE編號: CVE-2020-14756, CVSS評分: 9.8

未授權即可通過IIOP和T3協議進行遠程攻擊。

產品名稱:

Oracle Data Integrator

CVE編號: CVE-2015-8965, CVSS評分: 9.8

CVE編號: CVE-2020-10683, CVSS評分: 9.8

以上兩個漏洞均可在未授權的情況下通過構造HTTP報文來進行遠程攻擊。

產品名稱:

Oracle WebCenter Portal

CVE編號: CVE-2020-10683, CVSS評分: 9.8

未授權情況下即可通過構造HTTP報文來進行遠程攻擊。

產品名稱:

Oracle WebLogic Server

CVE編號: CVE-2021-1994, CVSS評分: 9.8

CVE編號: CVE-2021-2047, CVSS評分: 9.8

CVE編號: CVE-2021-2064, CVSS評分: 9.8

CVE編號: CVE-2021-2108, CVSS評分: 9.8

CVE編號: CVE-2021-2075, CVSS評分: 9.8

以上五個漏洞均可在未授權的情況下通過HTTP以及IIOP和T3協議發起遠程攻擊。

0x02漏洞等級

高危

0x03受影響版本

CVE編號: CVE-2019-7164

影響版本: 4.2, 4.3

CVE編號: CVE-2019-13990

影響版本: 13.2.1.0

CVE編號: CVE-2020-11973

影響版本: 13.3.0.0, 13.4.0.0

CVE編號: CVE-2016-1000031

影響版本: 13.3.0.0, 13.4.0.0

CVE編號: CVE-2020-14756

影響版本: 3.7.1.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE編號: CVE-2015-8965

影響版本: 12.2.1.3.0, 12.2.1.4.0

CVE編號: CVE-2020-10683

影響版本:

Oracle Business Process Management Suite

12.2.1.3.0, 12.2.1.4.0

Oracle Data Integrator

12.2.1.3.0, 12.2.1.4.0

Oracle Enterprise Data Quality

11.1.1.9.0, 12.2.1.3.0

Oracle WebCenter Portal

11.1.1.9.0

Oracle Health Sciences Information Manager

3.0.1

Oracle Retail Customer Management and Segmentation Foundation

16.0, 17.0, 18.0, 19.0

CVE編號: CVE-2021-1994

影響版本: 10.3.6.0.0, 12.1.3.0.0

CVE編號: CVE-2021-2047

影響版本: 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE編號: CVE-2021-2064

影響版本: 12.1.3.0.0

CVE編號: CVE-2021-2108

影響版本: 12.1.3.0.0

CVE編號: CVE-2021-2075

影響版本: 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

0x04修復建議

Oracle官網已經發布相關補丁，建議用戶及時進行更新。

參考鏈接如下

https://www.oracle.com/security-alerts/cpujan2021.html

0x05支持熱線

天融信公司后續將積極為用戶提供技術支持，進行持續跟蹤并及時通報進展，如有需要請撥打7 x 24小時客服聯系電話：400-777-0777。

0x06聲明

天融信阿爾法實驗室擁有對此公告的修改和解釋權，如欲轉載，必須保證此公告的完整性。由于傳播、利用此公告而造成的任何后果，均由使用者本人負責，天融信阿爾法實驗室不為此承擔任何責任。

熱門標簽：