东森平台

首页 > 宁静研究 > 宁静通报 > 宁静通告

【漏洞通告】Oracle 10月多个宁静漏洞

宣布时间 2021-10-20

0x00 漏洞概述

2021年10月19日，Oracle宣布了10月份的宁静更新，本次宣布的宁静更新共计419个，涉及Oracle Communications Applications 、Oracle E-Business Suite、Oracle Financial Services Applications、Oracle Enterprise Manager、Oracle Fusion Middleware、Oracle Java SE、Oracle MySQL和Oracle Systems等多个产物和组件。

0x01 漏洞详情

l Oracle Fusion Middleware多个宁静漏洞

Oracle此次共宣布了38个适用于Oracle Fusion Middleware的宁静更新，其中有 30个漏洞无需经过身份验证即可远程利用。本次宣布的更新涉及多个Oracle WebLogic Server漏洞：CVE-2021-35617、CVE-2021-35620和CVE-2021-35552等，其中CVE-2021-35617的CVSS评分为9.8，攻击庞大度低，且无需用户交互。攻击者可以通过IIOP协议对Oracle WebLogic Server提倡攻击，乐成利用此漏洞的攻击者可以控制Oracle WebLogic Server。

l Oracle Communications Applications多个宁静漏洞

Oracle此次共宣布了19个适用于 Oracle Communications Applications 的宁静更新，其中有14个漏洞无需经过身份验证即可远程利用。其中严重漏洞包罗CVE-2021-3177，其CVSS评分为9.8。

l Oracle E-Business Suite多个宁静漏洞

Oracle此次共宣布了18个适用于Oracle E-Business Suite 的宁静更新，其中有4个漏洞无需经过身份验证即可远程利用。其中包罗CVE-2021-35566、CVE-2021-2483、CVE-2021-35536和CVE-2021-35585等11个高危漏洞，它们的CVSS评分均为8.1。

l Oracle Enterprise Manager多个宁静漏洞

Oracle此次共宣布了8个适用于Oracle Enterprise Manager的宁静更新，其中有5个漏洞无需经过身份验证即可远程利用。其中一个评级为严重的漏洞为CVE-2021-26691（CVSS评分为9.8），该漏洞的利用庞大度低，且无需用户交互。此外，Oracle还修复了包罗CVE-2021-2137和CVE-2021-29505在内的其它7个宁静漏洞。

l Oracle Financial Services Applications多个宁静漏洞

Oracle此次共宣布了44个适用于Oracle Financial Services Applications的宁静更新，其中有26个漏洞无需经过身份验证即可远程利用。其中严重漏洞包罗CVE-2021-21345、CVE-2020-5413和CVE-2020-10683，它们的CVSS评分均为9.8。

l Oracle Java SE多个宁静漏洞

Oracle此次共宣布了15个适用于Oracle Java SE的宁静更新，其中有13个漏洞无需经过身份验证即可远程利用。其中高危漏洞包罗CVE-2021-3517、CVE-2021-35560和CVE-2021-27290。其中，CVE-2021-3517和CVE-2021-35560影响了Java SE 8u301。

l Oracle MySQL多个宁静漏洞

Oracle此次共宣布了66个适用于Oracle MySQL的宁静更新，其中有10个漏洞无需经过身份验证即可远程利用。严重漏洞包罗CVE-2021-22931（影响MySQL集群）和CVE-2021-3711（影响MySQL 服务器），这2个漏洞的CVSS评分均为9.8，攻击庞大度低，且无需用户交互。

l Oracle Systems多个宁静漏洞

Oracle此次共宣布了5个适用于Oracle Systems的宁静更新，其中有2个漏洞无需经过身份验证即可远程利用。严重漏洞包罗CVE-2021-26691，其CVSS评分均为9.8，攻击庞大度低，且无需用户交互。此外，Oracle还宣布了CVE-2021-35539、CVE-2021-35589、CVE-2021-35549和CVE-2020-1968等多个漏洞的补丁。

0x02 处置建议

目前Oracle已经宣布了相关补丁，建议受影响的用户及时升级更新。

漏洞列表及影响范围请参考Oracle官方通告：

https://www.oracle.com/security-alerts/cpuoct2021.html

缓解措施

针对WebLogic，建议禁用T3协议或IIOP协议。

禁用T3协议，具体操作：

1）进入WebLogic控制台，在base_domain的配置页面中，进入“宁静”选项卡页面，点击“筛选器”，进入连接筛选器配置。

2)在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则中输入：127.0.0.1 * * allow t3t3s，0.0.0.0/0 * *deny t3 t3s(t3和t3s协议的所有端口只允许当地访问)。

3）生存后需重新启动，规则方可生效。

禁用IIOP协议，具体操作：

登陆WebLogic控制台，base_domain >服务器提要 >AdminServer

0x03 参考链接

https://www.oracle.com/security-alerts/cpuoct2021.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22931

0x04 更新版本

版本	日期	修改内容
V1.0	2021-10-20	首次宣布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

CVSS：www.first.org

NVD：nvd.nist.gov

0x06 关于东森平台

关注以下公众号，获取更多资讯：

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号