• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Products___Technology/Products/IP_Security/Security_Research/Home/Notice/Notice/202305/1844468_30003_0.htm

Oracle产品多个漏洞通告

【发布时间:2023-05-11】

新华三盾山实验室

2023/04/19


1. 漏洞综述

1.1 漏洞背景

Oracle公司(甲骨文)是全球最大的信息管理软件及服务供应商,其中Weblogic是由Oracle公司开发的一款基于JAVAEE架构的中间件,主要用于大型分布式Web应用的开发、部署及管理,在国内外应用十分广泛。近日,新华三盾山实验室监测到Oracle官方发布了2023年4月份关键补丁更新公告,修复了存在于Oracle中的多个漏洞,其中主要包括:Oracle MySQL Server拒绝服务漏洞(CVE-2023-21912)、Oracle WebLogic Server 拒绝服务漏洞(CVE-2023-21996、CVE-2023-21964)、Oracle WebLogic Server 敏感信息泄露漏洞(CVE-2023-21931、CVE-2023-21979)、Oracle WebLogic Server未授权访问漏洞(CVE-2023-21956、CVE-2023-21960)等。未经身份验证的攻击者可利用这些漏洞读取敏感数据或造成拒绝服务(DoS)等。

1.2 漏洞详情

1、 CVE-2023-21912 Oracle MySQL Server拒绝服务漏洞

Oracle MySQL Server中存在拒绝服务漏洞,未经身份验证的恶意攻击者成功利用此漏洞可导致MySQL Server挂起或频繁重复崩溃,造成拒绝服务(DoS)。

严重等级:高危 评分:7.5

2、 CVE-2023-21931CVE-2023-21979 Oracle WebLogic Server敏感信息泄露漏洞

Oracle WebLogic Server中存在敏感信息泄露漏洞,未经身份验证的恶意攻击者通过T3进行访问,成功利用此漏洞可访问一些未授权的关键数据或Oracle WebLogic Server可访问的所有数据。

严重等级:高危 评分:7.5

3CVE-2023-21964CVE-2023-21996 Oracle WebLogic Server拒绝服务漏洞

Oracle WebLogic Server中存在拒绝服务漏洞,未经身份验证的恶意攻击者通过HTTP进行访问,成功利用此漏洞会导致Oracle WebLogic Server挂起或频繁重复崩溃,造成拒绝服务(DoS)。

严重等级:高危 评分:7.5

2. 影响范围

CVE编号

受影响产品

协议

CVE-2023-21912

Oracle MySQL Server 5.7.41 and prior

Oracle MySQL Server 8.0.30 and prior

MySQL Protocol

CVE-2023-21996

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

HTTP

CVE-2023-21931

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

T3

CVE-2023-21964

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

T3

CVE-2023-21979

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

T3

CVE-2023-21960

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

HTTP

CVE-2023-21956

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

HTTP

3. 处置方法

3.1 官方补丁

目前官方已发布漏洞修复补丁,请受影响的用户及时升级补丁以修复该漏洞,参考链接:https://www.oracle.com/security-alerts/cpuapr2023.html

3.2 临时缓解措施

若无法安装升级修复补丁,可采取如下修复措施:

1、 限制外部主机使用T3协议通信

1)进入Weblogic控制台,在base_domain的域设置页面中,选择“安全”-“筛选器”选项卡,对连接筛选器进行配置;

2)在连接筛选器输入框中输入:weblogic.security.net.ConnectionFilterImpl;

3)在连接筛选器规则输入框中输入:127.0.0.1 * * allow t3 t3s(仅允许本机)0.0.0.0/0 * * deny t3 t3s;

4)保存提交后若规则未生效,则需重启Weblogic服务。

2、 关闭IIOP协议

1) 登录Weblogic控制台,进入base_domain配置页面;

2)依次点击“环境”-“服务器”,在服务器配置页面中选择对应的服务器后,切换到“协议”-“IIOP”选项卡,取消勾选“启用 IIOP”;

3)重启 Weblogic 项目,使其生效。

3.3 漏洞环境检测

1、可在Weblogic安装目录server/lib下通过命令:java -cp weblogic.jar weblogic.version查看Weblogic版本和补丁安装情况。

2、或登录Weblogic Console控制台,在域结构中点击进入“环境”-“服务器”,在服务器“配置”选项卡中点击对应的服务器后,切换至“监视”-“一般信息”选型卡,可查看Weblogic版本等信息。

4. 参考链接

https://www.oracle.com/security-alerts/cpuapr2023.html

新华三官网
联系我们