安全通告-Oracle Weblogic 四月补丁更新及多个高危漏洞风险提示
发布时间:2022-04-21
阅读次数:3700
一、漏洞通告
2022年4月20日,Oracle官方发布了2022年4月安全更新公告,包含了其家族WebLogic Server在内的多个产品安全漏洞公告,其中Oracle Weblogic Server远程代码执行漏洞(CVE-2022-23305),Oracle Coherence远程代码执行漏洞(CVE-2022-21420)风险较高,建议相关用户尽快采取措施进行修复。相关链接参考:
https://www.oracle.com/security-alerts/cpuapr2022.html
漏洞风险矩阵参考(直接筛选CVE编号查询简约漏洞描述):
https://www.oracle.com/security-alerts/cpuapr2022verbose.html
Oracle历史安全漏洞公告参考:
https://www.oracle.com/security-alerts/
二、影响范围
CVE-2022-23305漏洞影响以下Weblogic Server版本:
12.2.1.3.0、12.2.1.4.0、14.1.1.0.0
CVE-2022-21420漏洞影响以下Oracle Coherence版本:
12.2.1.3.0、12.2.1.4.0、14.1.1.0.0
三、漏洞描述
Oracle Weblogic Server远程代码执行漏洞(CVE-2022-23305):根据分析,该漏洞为Oracle Fusion Middleware 的 Oracle WebLogic Server 产品中的漏洞。由于引用了第三方依赖Apache Log4j,允许未经身份验证的攻击者通过 HTTP 进行网络访问来破坏 Oracle WebLogic Server。成功利用此漏洞可导致 Oracle WebLogic Server 被接管。
Oracle Coherence远程代码执行漏洞(CVE-2022-21420):根据分析,该漏洞为Oracle 融合中间件(组件:core)的 Oracle Coherence 产品中的漏洞。允许未经身份验证的攻击者通过T3访问网络来破坏 Oracle Coherence。成功利用此漏洞可导致 Oracle Coherence 被接管。
四、缓解措施
紧急:目前漏洞细节和利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,建议及时测试并升级到漏洞修复的版本。
目前Oracle已发布升级补丁修复了上述漏洞,请用户参考官方通告及时下载更新补丁,并参照补丁包中的readme文件进行安装。
补丁获取链接:https://www.oracle.com/security-alerts/cpuapr2022.html
来源:Oracle官网
/
网络安全