服务公告

全部公告 > 安全公告 > 关于Oracle WebLogic Server多个高危漏洞预警

关于Oracle WebLogic Server多个高危漏洞预警

2021-10-20

一、概要

近日,华为云关注到Oracle官方发布了2021年第四季度安全补丁更新公告,披露了多款旗下产品的安全漏洞,包括4个Weblogic相关漏洞(CVE-2021-35617, CVE-2021-35620, CVE-2021-29425, CVE-2021-35552),其中CVE-2021-35617漏洞风险高,攻击者通过发送构造恶意的请求可实现远程代码执行。

华为云提醒使用Weblogic及Oracle相关产品的用户及时安排自检并做好安全加固。

参考链接:Oracle Critical Patch Update Advisory - October2021

本次Oracle季度安全更新共涉及419个安全漏洞,除Oracle Weblogic外,还包括Oracle Communications、Oracle Financial Services Applications 、Oracle Insurance Applications、Oracle MySQL等产品,具体漏洞信息请参考官方链接。

二、漏洞级别

漏洞级别:【严重】

(说明:漏洞级别共四级:一般、重要、严重、紧急)

三、Weblogic漏洞说明详情

CVE编号

影响组件

严重程度

受影响版本

CVE-2021-35617

Coherence Container

严重

12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2021-35620

Core

重要

10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2021-29425

Console (Apache Commons IO)

一般

12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2021-35552

Diagnostics

一般

12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

(注:以上为weblogic漏洞,其他漏洞及详情请参见Oracle官方说明) 

四、漏洞影响范围

Oracle Weblogic、Oracle Communications、Oracle Financial Services Applications 、Oracle Insurance Applications、Oracle MySQL等产品

五、安全建议

官方已发布安全补丁更新,需用户持有正版软件的许可账号,登陆https://support.oracle.com后,下载最新补丁。

若无法及时更新的用户,可根据Oracle官方提供的修复建议通过取消攻击所需的网络协议或权限进行缓解。

Weblogic高危漏洞(CVE-2021-35617)可通过禁用IIOP协议来对漏洞进行缓解。

注意:修复漏洞前请将资料备份,并进行充分测试。