Oracle多个产品高危漏洞安全风险通告
奇安信CERT
致力于第一时间为企业级用户提供安全风险通告和有效解决方案。
安全通告
Oracle官方发布了2023年1月的关键安全补丁集合更新CPU(Critical Patch Update),修复了多个漏洞包括CVE-2022-45047、CVE-2022-42920、CVE-2023-21842、CVE-2023-21837、CVE-2023-21838、CVE-2023-21839、CVE-2023-21841、CVE-2023-21886等。其中Apache MINA SSHD 反序列化漏洞(CVE-2022-45047);Apache Commons BCEL越界写入漏洞(CVE-2022-42920)影响较为严重,分别为Oracle Coherence、Oracle WebLogic Server中引入的第三方库所导致。鉴于这些漏洞危害性较大,奇安信CERT建议客户尽快应用本次关键安全补丁集合(CPU)。
CVE编号 | 影响组件 | 协议 | 是否远程未授权利用 | CVSS | 受影响版本 |
CVE-2022-45047 | Oracle Coherence: End-User Documentation (Apache Mina SSHD) | SSH | 是 | 9.8 | 14.1.1.0.0 |
CVE-2022-42920 | Oracle WebLogic Server: Centralized Third party Jars (Apache Commons BCEL) | HTTP | 是 | 9.8 | 12.2.1.3.0, 12.2.1.4.0 |
CVE-2023-21842 | Oracle WebLogic Server(Web Container) | HTTP | 是 | 7.5 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2023-21837 | Oracle WebLogic Server(Core) | IIOP | 是 | 7.5 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2023-21838 | Oracle WebLogic Server(Core) | T3, IIOP | 是 | 7.5 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2023-21839 | Oracle WebLogic Server(Core) | T3, IIOP | 是 | 7.5 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2023-21841 | Oracle WebLogic Server(Core) | T3, IIOP | 是 | 7.5 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2023-21886 | Oracle VM VirtualBox(core) | Multiple | 是 | 8.1 | < 6.1.42 < 7.0.6 |
其中,Oracle Coherence引入的Apache MINA SSHD中存在反序列化漏洞,Oracle WebLogic Server引入的Apache Commons BCEL中存在越界写入漏洞,这两个漏洞值得关注:
1. Apache MINA SSHD 反序列化漏洞(CVE-2022-45047)
漏洞名称 | Apache MINA SSHD 反序列化漏洞 | ||||
漏洞类型 | 代码执行 | 风险等级 | 高危 | 漏洞ID | CVE-2022-45047 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | Apache MINA SSHD 中存在反序列化漏洞,在org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider类中将对java.security.PrivateKey进行序列化,远程攻击者可利用此漏洞在目标服务器上通过加载可控的 PrivateKey 执行恶意代码。其中Oracle Coherence中引入此依赖,若成功利用此漏洞可能导致接管Oracle Coherence。 | ||||
参考链接 | |||||
https://www.oracle.com/security-alerts/cpujan2023.html |
2. Apache Commons BCEL越界写入漏洞(CVE-2022-42920)
漏洞名称 | Apache Commons BCEL越界写入漏洞 | ||||
漏洞类型 | 代码执行;拒绝服务 | 风险等级 | 高危 | 漏洞ID | CVE-2022-42920 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | Apache Commons BCEL 中由于未对写入常量池的常量数量进行限制从而导致越界写入漏洞。由于Apache Commons BCEL中具有大量修改Java类的API,攻击者可利用这些API生成任意字节码,从而造成程序拒绝服务或任意代码执行。其中Oracle WebLogic Server中引入此依赖,若成功利用此漏洞可能导致接管Oracle WebLogic服务器。 | ||||
参考链接 | |||||
https://www.oracle.com/security-alerts/cpujan2023.html |
影响范围
CVE编号 | 受影响版本 |
CVE-2022-45047 | Oracle Coherence 14.1.1.0.0 |
CVE-2022-42920 | Oracle WebLogic Server 12.2.1.3.0, Oracle WebLogic Server 12.2.1.4.0 |
CVE-2023-21842 | Oracle WebLogic Server 12.2.1.3.0, Oracle WebLogic Server 12.2.1.4.0, Oracle WebLogic Server 14.1.1.0.0 |
CVE-2023-21837 | Oracle WebLogic Server 12.2.1.3.0, Oracle WebLogic Server 12.2.1.4.0, Oracle WebLogic Server 14.1.1.0.0 |
CVE-2023-21838 | Oracle WebLogic Server 12.2.1.3.0, Oracle WebLogic Server 12.2.1.4.0, Oracle WebLogic Server 14.1.1.0.0 |
CVE-2023-21839 | Oracle WebLogic Server 12.2.1.3.0, Oracle WebLogic Server 12.2.1.4.0, Oracle WebLogic Server 14.1.1.0.0 |
CVE-2023-21841 | Oracle WebLogic Server 12.2.1.3.0, Oracle WebLogic Server 12.2.1.4.0, Oracle WebLogic Server 14.1.1.0.0 |
CVE-2023-21886 | Oracle VM VirtualBox < 6.1.42 Oracle VM VirtualBox < 7.0.6 |
处置建议
请参考以下链接尽快修复:
https://www.oracle.com/security-alerts/cpujan2023.html
Oracle WebLogic Server升级方式
bsu.cmd -install -patch_download_dir=C:\Oracle\Middleware\utils\bsu\cache_dir -patchlist=3L3H -prod_dir=C:\Oracle\Middleware\wlserver_10.3C:\Oracle\Middleware\Oracle_Home\OPatch>opatch apply 本机补丁地址注:补丁编号请自行更改为新补丁编号。
若非必须开启,请禁用T3和IIOP协议。
禁用T3、IIOP协议具体操作步骤如下:
127.0.0.1 * * allow t3 t3s本机IP * * allow t3 t3s允许访问的IP * * allow t3 t3s * * * deny t3 t3s
参考资料
[1]https://www.oracle.com/security-alerts/cpujan2023.html
时间线
2023年1月18日,奇安信 CERT发布安全风险通告。
到奇安信NOX-安全监测平台查询更多漏洞详情