Avisos públicos
Múltiples vulnerabilidades de alto riesgo en Oracle WebLogic Server
29 oct. 2021 GMT+08:00
I. Información general
Oracle publicó su aviso de actualización de parche de seguridad para el cuarto trimestre de 2021, el cual revela múltiples vulnerabilidades de seguridad en sus productos, incluidas cuatro vulnerabilidades relacionadas con WebLogic (CVE-2021-35617, CVE-2021-35620, CVE-2021-29425 y CVE-2021-35552). El riesgo de la vulnerabilidad CVE-2021-35617 es alto. Los atacantes pueden crear solicitudes maliciosas para ejecutar código de manera remota.
Si usted utiliza WebLogic u otros productos de Oracle, verifique sus servicios e implemente mejoras de seguridad de manera oportuna.
Referencia: Anuncio público de actualización de parche crítico de Oracle: octubre de 2021
Esta actualización trimestral de seguridad de Oracle involucra 419 vulnerabilidades de seguridad en Oracle WebLogic, Oracle Communications, aplicaciones de servicios financieros de Oracle, aplicaciones de seguros de Oracle y Oracle MySQL. Para obtener detalles sobre las vulnerabilidades, consulte el sitio web oficial.
II. Severidad
Severidad: importante
(Severidad: baja, moderada, importante o crítica)
III. Detalles de las vulnerabilidades de WebLogic
ID de CVE | Componente afectado | Severidad | Versión afectada |
CVE-2021-35617 | Contenedor de Coherence | Importante | 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2021-35620 | Principal | Moderada | 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2021-29425 | Consola (Apache Commons IO) | Baja | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2021-35552 | Diagnóstico | Baja | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
(Nota: Las vulnerabilidades enumeradas anteriormente son vulnerabilidades de WebLogic. Para obtener más información, visite el sitio web oficial de Oracle).
IV. Productos y componentes afectados
Oracle WebLogic, Oracle Communications, aplicaciones de servicios financieros de Oracle, aplicaciones de seguros de Oracle, Oracle MySQL y otros productos.
V. Sugerencias de seguridad
Estas vulnerabilidades se corrigieron en el parche oficial. Utilice una cuenta de licencia para iniciar sesión en https://support.oracle.com y descargar el parche más reciente.
Si no puede instalar el parche de manera oportuna, mitigue los riesgos según las sugerencias de reparación proporcionadas por Oracle. Deshabilite los protocolos de red o los permisos que probablemente serán explotados por ataques.
La vulnerabilidad de alto riesgo CVE-2021-35617 de WebLogic se puede mitigar deshabilitando el protocolo IIOP.
Nota: Antes de corregir vulnerabilidades, cree una copia de respaldo de sus archivos y realice una prueba exhaustiva.