8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】Oracle 7月多个安全缝隙

颁布功夫 2021-07-21

0x00 缝隙概述

2021年7月20日，，，，，Oracle颁布了7月份的安全更新，，，，，本次颁布的安全更新共计342个，，，，，涉及Oracle Communications Applications 、Oracle E-Business Suite、Oracle Enterprise Manager和Oracle Fusion Middleware等多个产品和组件。。。。。。。

0x01 缝隙详情

Oracle Fusion Middleware多个安全缝隙

Oracle这次共颁布了48个合用于Oracle Fusion Middleware的安全更新，，，，，其中有 35个缝隙无需经过身份验证即可远程利用。。。。。。。其中蕴含多个WebLogic Server安全缝隙，，，，，未经身份验证的攻击者能够通过IIOP或T3和谈发送恶意要求来利用这些缝隙，，，，，从而在Oracle WebLogic Server执行代码或节造服务器。。。。。。。严沉缝隙蕴含CVE-2021-2394、CVE-2021-2397和CVE-2021-2382，，，，，它们的CVSS评分均为9.8。。。。。。。

Oracle Communications Applications多个安全缝隙

Oracle这次共颁布了33 个合用于 Oracle Communications Applications 的安全更新，，，，，其中有 22 个缝隙无需经过身份验证即可远程利用。。。。。。。其中严沉缝隙蕴含CVE-2021-21345、CVE-2020-11612、CVE-2021-3177、CVE-2020-17530和CVE-2019-17195，，，，，攻击者能够通过HTTP和谈发送恶意要求来利用这些缝隙。。。。。。。

Oracle E-Business Suite多个安全缝隙

Oracle这次共颁布了17 个合用于Oracle E-Business Suite 的安全更新，，，，，其中有3个缝隙无需经过身份验证即可远程利用。。。。。。。其中一个评级为严沉的缝隙为CVE-2021-2355（CVSS评分为9.1），，，，，该缝隙的利用复杂度低，，，，，且无需用户交互。。。。。。。此表，，，，，Oracle还建复了蕴含CVE-2021-2436、CVE-2021-2359和CVE-2021-2361在内的15个高危缝隙。。。。。。。

Oracle Enterprise Manager多个安全缝隙

Oracle这次共颁布了8 个合用于Oracle Enterprise Manager的安全更新，，，，，这些缝隙都能够在未经过身份验证的情况下远程利用。。。。。。。其中一个评级为严沉的缝隙为CVE-2020-10683（CVSS评分为9.8），，，，，该缝隙的利用复杂度低，，，，，且无需用户交互。。。。。。。此表，，，，，Oracle还建复了蕴含CVE-2019-5064在内的其它7个安全缝隙。。。。。。。

Oracle Financial Services Applications多个安全缝隙

Oracle这次共颁布了22个合用于Oracle Financial Services Applications的安全更新，，，，，其中有 17个缝隙无需经过身份验证即可远程利用。。。。。。。其中严沉缝隙蕴含CVE-2021-21345、CVE-2019-0228、CVE-2021-26117、CVE-2020-5413、CVE-2020-11998和CVE-2020-27218，，，，，攻击者能够通过HTTP和谈发送恶意要求来利用这些缝隙。。。。。。。

0x02 措置建议

目前Oracle已颁布有关安全更新，，，，，建议用户尽快建复。。。。。。。

下载链接：

https://www.oracle.com/security-alerts/cpujul2021.html

缓解措施

禁用T3和谈：

1）进入WebLogic节造台，，，，，在base_domain的配置页面中，，，，，进入“安全”选项卡页面，，，，，点击“筛选器”，，，，，进入衔接筛选器配置。。。。。。。

2)在衔接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，，，，，在衔接筛选器规定中输入：127.0.0.1 * * allow t3t3s，，，，，0.0.0.0/0 * *deny t3 t3s(t3和t3s和谈的所有端口只允许本地接见)。。。。。。。

3）保留后需沉新启动，，，，，规定方可生效。。。。。。。

禁用IIOP和谈:

登陆WebLogic节造台，，，，，base_domain >服务器概要 >AdminServer

0x03 参考链接

https://www.oracle.com/security-alerts/cpujul2021.html

https://us-cert.cisa.gov/ncas/current-activity/2021/07/20/oracle-releases-july-2021-critical-patch-update

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-2394

0x04 更新版本

版本	日期	批改内容
V1.0	2021-07-21	初次颁布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

NVD：nvd.nist.gov

CVSS：www.first.org

0x06 关于8827太阳集团

关注以下公家号，，，，，获取更多资讯：

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】