人生就是博

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】Oracle 10月多个清静误差

宣布时间 2021-10-20

0x00 误差概述

2021年10月19日，，，，，Oracle宣布了10月份的清静更新，，，，，本次宣布的清静更新共计419个，，，，，涉及Oracle Communications Applications 、Oracle E-Business Suite、Oracle Financial Services Applications、Oracle Enterprise Manager、Oracle Fusion Middleware、Oracle Java SE、Oracle MySQL和Oracle Systems等多个产品和组件。。。。。。

0x01 误差详情

l Oracle Fusion Middleware多个清静误差

Oracle此次共宣布了38个适用于Oracle Fusion Middleware的清静更新，，，，，其中有 30个误差无需经由身份验证即可远程使用。。。。。。本次宣布的更新涉及多个Oracle WebLogic Server误差：CVE-2021-35617、CVE-2021-35620和CVE-2021-35552等，，，，，其中CVE-2021-35617的CVSS评分为9.8，，，，，攻击重漂后低，，，，，且无需用户交互。。。。。。攻击者可以通过IIOP协议对Oracle WebLogic Server提倡攻击，，，，，乐成使用此误差的攻击者可以控制Oracle WebLogic Server。。。。。。

l Oracle Communications Applications多个清静误差

Oracle此次共宣布了19个适用于 Oracle Communications Applications 的清静更新，，，，，其中有14个误差无需经由身份验证即可远程使用。。。。。。其中严重误差包括CVE-2021-3177，，，，，其CVSS评分为9.8。。。。。。

l Oracle E-Business Suite多个清静误差

Oracle此次共宣布了18个适用于Oracle E-Business Suite 的清静更新，，，，，其中有4个误差无需经由身份验证即可远程使用。。。。。。其中包括CVE-2021-35566、CVE-2021-2483、CVE-2021-35536和CVE-2021-35585等11个高危误差，，，，，它们的CVSS评分均为8.1。。。。。。

l Oracle Enterprise Manager多个清静误差

Oracle此次共宣布了8个适用于Oracle Enterprise Manager的清静更新，，，，，其中有5个误差无需经由身份验证即可远程使用。。。。。。其中一个评级为严重的误差为CVE-2021-26691（CVSS评分为9.8），，，，，该误差的使用重漂后低，，，，，且无需用户交互。。。。。。别的，，，，，Oracle还修复了包括CVE-2021-2137和CVE-2021-29505在内的其它7个清静误差。。。。。。

l Oracle Financial Services Applications多个清静误差

Oracle此次共宣布了44个适用于Oracle Financial Services Applications的清静更新，，，，，其中有26个误差无需经由身份验证即可远程使用。。。。。。其中严重误差包括CVE-2021-21345、CVE-2020-5413和CVE-2020-10683，，，，，它们的CVSS评分均为9.8。。。。。。

l Oracle Java SE多个清静误差

Oracle此次共宣布了15个适用于Oracle Java SE的清静更新，，，，，其中有13个误差无需经由身份验证即可远程使用。。。。。。其中高危误差包括CVE-2021-3517、CVE-2021-35560和CVE-2021-27290。。。。。。其中，，，，，CVE-2021-3517和CVE-2021-35560影响了Java SE 8u301。。。。。。

l Oracle MySQL多个清静误差

Oracle此次共宣布了66个适用于Oracle MySQL的清静更新，，，，，其中有10个误差无需经由身份验证即可远程使用。。。。。。严重误差包括CVE-2021-22931（影响MySQL集群）和CVE-2021-3711（影响MySQL 效劳器），，，，，这2个误差的CVSS评分均为9.8，，，，，攻击重漂后低，，，，，且无需用户交互。。。。。。

l Oracle Systems多个清静误差

Oracle此次共宣布了5个适用于Oracle Systems的清静更新，，，，，其中有2个误差无需经由身份验证即可远程使用。。。。。。严重误差包括CVE-2021-26691，，，，，其CVSS评分均为9.8，，，，，攻击重漂后低，，，，，且无需用户交互。。。。。。别的，，，，，Oracle还宣布了CVE-2021-35539、CVE-2021-35589、CVE-2021-35549和CVE-2020-1968等多个误差的补丁。。。。。。

0x02 处置惩罚建议

现在Oracle已经宣布了相关补丁，，，，，建议受影响的用户实时升级更新。。。。。。

误差列表及影响规模请参考Oracle官方通告：

https://www.oracle.com/security-alerts/cpuoct2021.html

缓解步伐

针对WebLogic，，，，，建议禁用T3协议或IIOP协议。。。。。。

禁用T3协议，，，，，详细操作：

1）进入WebLogic控制台，，，，，在base_domain的设置页面中，，，，，进入“清静”选项卡页面，，，，，点击“筛选器”，，，，，进入毗连筛选器设置。。。。。。

2)在毗连筛选器中输入：weblogic.security.net.ConnectionFilterImpl，，，，，在毗连筛选器规则中输入：127.0.0.1 * * allow t3t3s，，，，，0.0.0.0/0 * *deny t3 t3s(t3和t3s协议的所有端口只允许外地会见)。。。。。。

3）生涯后需重新启动，，，，，规则方可生效。。。。。。

禁用IIOP协议，，，，，详细操作：

上岸WebLogic控制台，，，，，base_domain >效劳器提要 >AdminServer

0x03 参考链接

https://www.oracle.com/security-alerts/cpuoct2021.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22931

0x04 更新版本

版本	日期	修改内容
V1.0	2021-10-20	首次宣布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

CVSS：www.first.org

NVD：nvd.nist.gov

0x06 关于人生就是博

关注以下公众号，，，，，获取更多资讯：

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 人生就是博版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】