Oracle 警告:Weblogic 服务器中含有多个可遭远程利用的严重漏洞
编译:奇安信代码卫士
本周二,Oracle 发布2021年7月关键补丁季度更新,发布了多款产品的342个修复方案,其中某些可遭远程攻击者用于控制受影响系统。
Oracle WebLogic Server 是一款应用服务器,是开发、部署和运行企业级 Java 应用程序的平台。
其中最主要的是 CVE-2019-2729,是存在于 Oracle WebLogic Server Web Services 中可通过 XMLDecoder 触发的严重的反序列化漏洞,可在无需认证的情况下遭远程利用。值得注意的是,该弱点最初在2019年6月发布的带外安全更新中解决。该漏洞的 CVSS 评分为9.8分,影响 WebLogic Server 版本11.1.2.4和 11.2.5.0,存在于 Oracle Hyperion Infrastructure Technology 中。
Oracle 还修复了 WebLogic Server 中的另外6个漏洞,其中3个漏洞的评分为9.8分,它们是:
CVE-2021-2394 (CVSS 评分9.8)
CVE-2021-2397 (CVSS 评分9.8)
CVE-2021-2382 (CVSS 评分9.8)
CVE-2021-2378 (CVSS 评分7.5)
CVE-2021-2376 (CVSS 评分7.5)
CVE-2021-2403 (CVSS 评分5.3)
这些缺陷远非 WebLogic Server 中首次出现严重漏洞。今年早些时候,Oracle 发布2021年4月补丁更新,修复了两个漏洞 CVE-2021-2135和CVE-2021-2136以及其它可导致任意代码执行的漏洞。
建议Oracle 客户快速应用这些更新,保护系统免受潜在攻击风险。
WebLogic UniversalExtractor反序列化漏洞(CVE-2020-14645)的复现和分析
Oracle Coherence&WebLogic反序列化远程代码执行漏洞安全风险通告
https://thehackernews.com/2021/07/oracle-warns-of-critical-remotely.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。