【漏洞情报】WebLogic多个组件高危漏洞安全风险通告

【漏洞详情】

Oracle官方发布了2021年7月关键补丁更新公告CPU(Critical Patch Update),共修复了342个不同程度的漏洞,其中包括3个影响WebLogic的严重漏洞,利用复杂度低,大致信息如下:

CVE-2021-2382/CVE-2021-2394/CVE-2021-2397:未经身份验证的攻击者发送恶意构造的T3或IIOP协议请求,可在目标服务器上执行任意代码

CVE-2021-2376/CVE-2021-2378:未经身份验证的攻击者通过T3或IIOP协议发送恶意请求,可造成目标服务器挂起或崩溃

CVE-2015-0254:此漏洞存在于Apache Standard Taglibs中,当应用程序使用 <x:parse> 或 <x:transform> 标签处理不受信任的XML文档时,1.2.3版本之前的 Apache Standard Taglibs允许远程攻击者利用XSLT 扩展执行任意代码或进行XML外部实体注入(XXE) 攻击

CVE-2021-2403:未经身份验证的攻击者可以通过HTTP发送恶意请求,未授权访问目标服务器的某些数据

平安云建议用户尽快采取措施,尽快修复此次的漏洞。

【风险评级】

高危

影响范围】

CVE-2021-2394:

10.3.6.0.0

12.1.3.0.0

12.2.1.3.0

12.2.1.4.0

14.1.1.0.0

CVE-2021-2397:

10.3.6.0.0

12.1.3.0.0

12.2.1.3.0

12.2.1.4.0

14.1.1.0.0

CVE-2021-2382:

 10.3.6.0.0

 12.1.3.0.0

 12.2.1.3.0

 12.2.1.4.0

 14.1.1.0.0

 CVE-2021-2428:

12.1.3.0.0

12.2.1.3.0

12.2.1.4.0

14.1.1.0.0

CVE-2021-2371:

3.7.1.0

12.1.3.0.0

12.2.1.3.0

12.2.1.4.0

14.1.1.0.0

CVE-2021-2344:

3.7.1.0

12.1.3.0.0

12.2.1.3.0

12.2.1.4.0

14.1.1.0.0

CVE-2021-2378:

10.3.6.0.0

12.1.3.0.0

12.2.1.3.0

12.2.1.4.0

14.1.1.0.0

CVE-2021-2376:

10.3.6.0.0

12.1.3.0.0

12.2.1.3.0

12.2.1.4.0

14.1.1.0.0

【修复建议】

Oracle目前已发布补丁修复了上述漏洞,请用户参考官方通告及时下载受影响产品更新补丁,并参照补丁安装包中的readme文件进行安装更新,以保证长期有效的防护。

注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。

【参考链接】

https://www.oracle.com/security-alerts/cpujul2021.html

https://www.oracle.com/security-alerts/cpujul2021.html#AppendixFMW

特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。

平安云

2021年7月22日

咨询·建议

电话咨询 - 7x24 小时

400-151-8800

邮件咨询

cloud@pingan.com

在线客服

7x24 小时,急速解答

工单支持

解决云产品相关技术问题