鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】Oracle 7月多个清静误差

宣布时间 2021-07-21

0x00 误差概述

2021年7月20日，，，，，，，Oracle宣布了7月份的清静更新，，，，，，，本次宣布的清静更新共计342个，，，，，，，涉及Oracle Communications Applications 、Oracle E-Business Suite、Oracle Enterprise Manager和Oracle Fusion Middleware等多个产品和组件。。。。。

0x01 误差详情

Oracle Fusion Middleware多个清静误差

Oracle此次共宣布了48个适用于Oracle Fusion Middleware的清静更新，，，，，，，其中有 35个误差无需经由身份验证即可远程使用。。。。。其中包括多个WebLogic Server清静误差，，，，，，，未经身份验证的攻击者可以通过IIOP或T3协议发送恶意请求来使用这些误差，，，，，，，从而在Oracle WebLogic Server执行代码或控制效劳器。。。。。严重误差包括CVE-2021-2394、CVE-2021-2397和CVE-2021-2382，，，，，，，它们的CVSS评分均为9.8。。。。。

Oracle Communications Applications多个清静误差

Oracle此次共宣布了33 个适用于 Oracle Communications Applications 的清静更新，，，，，，，其中有 22 个误差无需经由身份验证即可远程使用。。。。。其中严重误差包括CVE-2021-21345、CVE-2020-11612、CVE-2021-3177、CVE-2020-17530和CVE-2019-17195，，，，，，，攻击者可以通过HTTP协议发送恶意请求来使用这些误差。。。。。

Oracle E-Business Suite多个清静误差

Oracle此次共宣布了17 个适用于Oracle E-Business Suite 的清静更新，，，，，，，其中有3个误差无需经由身份验证即可远程使用。。。。。其中一个评级为严重的误差为CVE-2021-2355（CVSS评分为9.1），，，，，，，该误差的使用重漂后低，，，，，，，且无需用户交互。。。。。别的，，，，，，，Oracle还修复了包括CVE-2021-2436、CVE-2021-2359和CVE-2021-2361在内的15个高危误差。。。。。

Oracle Enterprise Manager多个清静误差

Oracle此次共宣布了8 个适用于Oracle Enterprise Manager的清静更新，，，，，，，这些误差都可以在未经由身份验证的情形下远程使用。。。。。其中一个评级为严重的误差为CVE-2020-10683（CVSS评分为9.8），，，，，，，该误差的使用重漂后低，，，，，，，且无需用户交互。。。。。别的，，，，，，，Oracle还修复了包括CVE-2019-5064在内的其它7个清静误差。。。。。

Oracle Financial Services Applications多个清静误差

Oracle此次共宣布了22个适用于Oracle Financial Services Applications的清静更新，，，，，，，其中有 17个误差无需经由身份验证即可远程使用。。。。。其中严重误差包括CVE-2021-21345、CVE-2019-0228、CVE-2021-26117、CVE-2020-5413、CVE-2020-11998和CVE-2020-27218，，，，，，，攻击者可以通过HTTP协议发送恶意请求来使用这些误差。。。。。

0x02 处置惩罚建议

现在Oracle已宣布相关清静更新，，，，，，，建议用户尽快修复。。。。。

下载链接：

https://www.oracle.com/security-alerts/cpujul2021.html

缓解步伐

禁用T3协议：

1）进入WebLogic控制台，，，，，，，在base_domain的设置页面中，，，，，，，进入“清静”选项卡页面，，，，，，，点击“筛选器”，，，，，，，进入毗连筛选器设置。。。。。

2)在毗连筛选器中输入：weblogic.security.net.ConnectionFilterImpl，，，，，，，在毗连筛选器规则中输入：127.0.0.1 * * allow t3t3s，，，，，，，0.0.0.0/0 * *deny t3 t3s(t3和t3s协议的所有端口只允许外地会见)。。。。。

3）生涯后需重新启动，，，，，，，规则方可生效。。。。。

禁用IIOP协议:

上岸WebLogic控制台，，，，，，，base_domain >效劳器提要 >AdminServer

0x03 参考链接

https://www.oracle.com/security-alerts/cpujul2021.html

https://us-cert.cisa.gov/ncas/current-activity/2021/07/20/oracle-releases-july-2021-critical-patch-update

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-2394

0x04 更新版本

版本	日期	修改内容
V1.0	2021-07-21	首次宣布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

NVD：nvd.nist.gov

CVSS：www.first.org

0x06 关于鉴黑担保网

关注以下公众号，，，，，，，获取更多资讯：

上一篇下一篇

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】