欢迎user
Oracle公司(甲骨文)是全球最大的信息管理软件及服务供应商,其组件Weblogic是一款基于JAVAEE架构的中间件,主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器,在国内外应用十分广泛。
新华三攻防实验室威胁预警团队监测到Oracle官方10月19日发布了2022年10月份关键补丁更新公告,此次更新修复了多个组件高危漏洞,漏洞危害较大,建议受影响的用户尽快更新官方发布的安全补丁。
1. CVE-2020-28052 Oracle WebLogic Server认证绕过漏洞
该漏洞由于Oracle WebLogic存在函数处理密码不正确,从而使未经身份验证的恶意攻击者可通过TLS进行绕过Oracle WebLogic Server认证,成功利用此漏洞可以获取目标服务器的控制权限。
评分:8.1 危害等级:高危
2. CVE-2022-23632 Containous Traefik 信任管理问题漏洞
未经身份验证的恶意攻击者通过构造恶意数据访问目标服务,进而破坏Oracle Containous Traefik组件,成功利用此漏洞可导致Oracle Communications Messaging Server被恶意攻击者接管。
评分:9.8 危害等级:高危
3. CVE-2022-23305 Apache Log4j SQL注入漏洞
未经身份验证的恶意攻击者通过构造特殊数据发起HTTP请求,从而破坏Oracle E-Business Suite 的应用程序管理包,成功利用此漏洞可能会导致 Oracle E-Business Suite 的Application Management Pack被接管。
评分:9.8 危害等级:高危
4. CVE-2022-23437 Oracle WebLogic Server拒绝服务漏洞
该漏洞由于Oracle Fusion Middleware的Oracle WebLogic Server 中引用了第三方工具 Apache Xerces-J,允许未经身份验证的攻击者通过 HTTP 访问来攻击Oracle WebLogic Server,此攻击需要与受害者进行交互,成功利用此漏洞可能会导致Oracle WebLogic Server挂起或拒绝服务(DOS)。
评分:6.5 危害等级:中危
5. CVE-2022-22971 Oracle WebLogic Server拒绝服务漏洞
经过身份验证的恶意攻击者通过向带有STOMP over WebSocket端点的应用程序不断发起请求服务,造成Oracle WebLogic Server拒绝服务(DOS)。
评分:6.5 危害等级:中危
下表为受影响的Oracle WebLogic Server版本详细信息
CVE编号 | 影响范围 | 协议 | CVSS评分 |
CVE-2020-28052 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 | TLS | 8.1 |
CVE-2022-23437 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 | HTTP | 6.5 |
CVE-2022-22971 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 | HTTP | 6.5 |
CVE-2020-17521 | 12.2.1.3.0, 12.2.1.4.0, | None | 5.5 |
CVE-2022-22968 | 12.2.1.4.0, 14.1.1.0.0 | HTTP | 5.3 |
CVE-2022-21616 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 | None | 5.2 |
CVE-2021-29425 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 | HTTP | 4.8 |
目前官方已发布漏洞安全补丁,请受影响的用户及时升级补丁以修复该漏洞,参考链接: https://www.oracle.com/security-alerts/cpuoct2022.html
1、可在Weblogic安装目录server/lib下通过命令:java -cp weblogic.jar weblogic.version查看Weblogic版本和补丁安装情况。
2、或登录Weblogic Console控制台,在域结构中点击进入“环境”-“服务器”,在服务器“配置”选项卡中点击对应的服务器后,切换至“监视”-“一般信息”选型卡,可查看Weblogic版本等信息。
https://www.oracle.com/security-alerts/cpuoct2022.html
https://nvd.nist.gov/vuln/detail/CVE-2022-22971