登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Products___Technology/Products/IP_Security/Security_Research/Home/Notice/Notice/202211/1715104_30003_0.htm

Oracle组件多个高危漏洞安全风险通告

【发布时间:2022-11-02】

1. 漏洞综述

1.1 漏洞背景

Oracle公司(甲骨文)是全球最大的信息管理软件及服务供应商,其组件Weblogic是一款基于JAVAEE架构的中间件,主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器,在国内外应用十分广泛。

新华三攻防实验室威胁预警团队监测到Oracle官方10月19日发布了2022年10月份关键补丁更新公告,此次更新修复了多个组件高危漏洞,漏洞危害较大,建议受影响的用户尽快更新官方发布的安全补丁。

1.2 漏洞描述

1. CVE-2020-28052 Oracle WebLogic Server认证绕过漏洞

该漏洞由于Oracle WebLogic存在函数处理密码不正确,从而使未经身份验证的恶意攻击者可通过TLS进行绕过Oracle WebLogic Server认证,成功利用此漏洞可以获取目标服务器的控制权限。

评分:8.1 危害等级:高危

2. CVE-2022-23632 Containous Traefik 信任管理问题漏洞

未经身份验证的恶意攻击者通过构造恶意数据访问目标服务,进而破坏Oracle Containous Traefik组件,成功利用此漏洞可导致Oracle Communications Messaging Server被恶意攻击者接管。

评分:9.8 危害等级:高危

3. CVE-2022-23305 Apache Log4j SQL注入漏洞

未经身份验证的恶意攻击者通过构造特殊数据发起HTTP请求,从而破坏Oracle E-Business Suite 的应用程序管理包,成功利用此漏洞可能会导致 Oracle E-Business Suite 的Application Management Pack被接管。

评分:9.8 危害等级:高危

4. CVE-2022-23437 Oracle WebLogic Server拒绝服务漏洞

该漏洞由于Oracle Fusion Middleware的Oracle WebLogic Server 中引用了第三方工具 Apache Xerces-J,允许未经身份验证的攻击者通过 HTTP 访问来攻击Oracle WebLogic Server,此攻击需要与受害者进行交互,成功利用此漏洞可能会导致Oracle WebLogic Server挂起或拒绝服务(DOS)。

评分:6.5 危害等级:中危

5. CVE-2022-22971 Oracle WebLogic Server拒绝服务漏洞

经过身份验证的恶意攻击者通过向带有STOMP over WebSocket端点的应用程序不断发起请求服务,造成Oracle WebLogic Server拒绝服务(DOS)。

评分:6.5 危害等级:中危

2. 影响范围

下表为受影响的Oracle WebLogic Server版本详细信息

CVE编号

影响范围

协议

CVSS评分

CVE-2020-28052

12.2.1.3.0,

12.2.1.4.0,

14.1.1.0.0

TLS

8.1

CVE-2022-23437

12.2.1.3.0,

12.2.1.4.0,

14.1.1.0.0

HTTP

6.5

CVE-2022-22971

12.2.1.3.0,

12.2.1.4.0,

14.1.1.0.0

HTTP

6.5

CVE-2020-17521

12.2.1.3.0,

12.2.1.4.0,

None

5.5

CVE-2022-22968

12.2.1.4.0,

14.1.1.0.0

HTTP

5.3

CVE-2022-21616

12.2.1.3.0,

12.2.1.4.0,

14.1.1.0.0

None

5.2

CVE-2021-29425

12.2.1.3.0,

12.2.1.4.0,

14.1.1.0.0

HTTP

4.8

3. 处置方法

3.1 官方补丁

目前官方已发布漏洞安全补丁,请受影响的用户及时升级补丁以修复该漏洞,参考链接: https://www.oracle.com/security-alerts/cpuoct2022.html

3.2 漏洞环境检测

1、可在Weblogic安装目录server/lib下通过命令:java -cp weblogic.jar weblogic.version查看Weblogic版本和补丁安装情况。

2、或登录Weblogic Console控制台,在域结构中点击进入“环境”-“服务器”,在服务器“配置”选项卡中点击对应的服务器后,切换至“监视”-“一般信息”选型卡,可查看Weblogic版本等信息。

4. 参考链接

https://www.oracle.com/security-alerts/cpuoct2022.html

https://nvd.nist.gov/vuln/detail/CVE-2022-22971

新华三官网
联系我们