8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】Oracle 10月多个安全缝隙

颁布功夫 2021-10-20

0x00 缝隙概述

2021年10月19日，，，，，，，，Oracle颁布了10月份的安全更新，，，，，，，，本次颁布的安全更新共计419个，，，，，，，，涉及Oracle Communications Applications 、Oracle E-Business Suite、Oracle Financial Services Applications、Oracle Enterprise Manager、Oracle Fusion Middleware、Oracle Java SE、Oracle MySQL和Oracle Systems等多个产品和组件。。。。。。。。

0x01 缝隙详情

l Oracle Fusion Middleware多个安全缝隙

Oracle这次共颁布了38个合用于Oracle Fusion Middleware的安全更新，，，，，，，，其中有 30个缝隙无需经过身份验证即可远程利用。。。。。。。。本次颁布的更新涉及多个Oracle WebLogic Server缝隙：CVE-2021-35617、CVE-2021-35620和CVE-2021-35552等，，，，，，，，其中CVE-2021-35617的CVSS评分为9.8，，，，，，，，攻击复杂度低，，，，，，，，且无需用户交互。。。。。。。。攻击者能够通过IIOP和谈对Oracle WebLogic Server提议攻击，，，，，，，，成功利用此缝隙的攻击者能够节造Oracle WebLogic Server。。。。。。。。

l Oracle Communications Applications多个安全缝隙

Oracle这次共颁布了19个合用于 Oracle Communications Applications 的安全更新，，，，，，，，其中有14个缝隙无需经过身份验证即可远程利用。。。。。。。。其中严沉缝隙蕴含CVE-2021-3177，，，，，，，，其CVSS评分为9.8。。。。。。。。

l Oracle E-Business Suite多个安全缝隙

Oracle这次共颁布了18个合用于Oracle E-Business Suite 的安全更新，，，，，，，，其中有4个缝隙无需经过身份验证即可远程利用。。。。。。。。其中蕴含CVE-2021-35566、CVE-2021-2483、CVE-2021-35536和CVE-2021-35585等11个高危缝隙，，，，，，，，它们的CVSS评分均为8.1。。。。。。。。

l Oracle Enterprise Manager多个安全缝隙

Oracle这次共颁布了8个合用于Oracle Enterprise Manager的安全更新，，，，，，，，其中有5个缝隙无需经过身份验证即可远程利用。。。。。。。。其中一个评级为严沉的缝隙为CVE-2021-26691（CVSS评分为9.8），，，，，，，，该缝隙的利用复杂度低，，，，，，，，且无需用户交互。。。。。。。。此表，，，，，，，，Oracle还建复了蕴含CVE-2021-2137和CVE-2021-29505在内的其它7个安全缝隙。。。。。。。。

l Oracle Financial Services Applications多个安全缝隙

Oracle这次共颁布了44个合用于Oracle Financial Services Applications的安全更新，，，，，，，，其中有26个缝隙无需经过身份验证即可远程利用。。。。。。。。其中严沉缝隙蕴含CVE-2021-21345、CVE-2020-5413和CVE-2020-10683，，，，，，，，它们的CVSS评分均为9.8。。。。。。。。

l Oracle Java SE多个安全缝隙

Oracle这次共颁布了15个合用于Oracle Java SE的安全更新，，，，，，，，其中有13个缝隙无需经过身份验证即可远程利用。。。。。。。。其中高危缝隙蕴含CVE-2021-3517、CVE-2021-35560和CVE-2021-27290。。。。。。。。其中，，，，，，，，CVE-2021-3517和CVE-2021-35560影响了Java SE 8u301。。。。。。。。

l Oracle MySQL多个安全缝隙

Oracle这次共颁布了66个合用于Oracle MySQL的安全更新，，，，，，，，其中有10个缝隙无需经过身份验证即可远程利用。。。。。。。。严沉缝隙蕴含CVE-2021-22931（影响MySQL集群）和CVE-2021-3711（影响MySQL 服务器），，，，，，，，这2个缝隙的CVSS评分均为9.8，，，，，，，，攻击复杂度低，，，，，，，，且无需用户交互。。。。。。。。

l Oracle Systems多个安全缝隙

Oracle这次共颁布了5个合用于Oracle Systems的安全更新，，，，，，，，其中有2个缝隙无需经过身份验证即可远程利用。。。。。。。。严沉缝隙蕴含CVE-2021-26691，，，，，，，，其CVSS评分均为9.8，，，，，，，，攻击复杂度低，，，，，，，，且无需用户交互。。。。。。。。此表，，，，，，，，Oracle还颁布了CVE-2021-35539、CVE-2021-35589、CVE-2021-35549和CVE-2020-1968等多个缝隙的补丁。。。。。。。。

0x02 措置建议

目前Oracle已经颁布了有关补丁，，，，，，，，建议受影响的用户实时升级更新。。。。。。。。

缝隙列表及影响领域请参考Oracle官方布告：

https://www.oracle.com/security-alerts/cpuoct2021.html

缓解措施

针对WebLogic，，，，，，，，建议禁用T3和谈或IIOP和谈。。。。。。。。

禁用T3和谈，，，，，，，，具体操作：

1）进入WebLogic节造台，，，，，，，，在base_domain的配置页面中，，，，，，，，进入“安全”选项卡页面，，，，，，，，点击“筛选器”，，，，，，，，进入衔接筛选器配置。。。。。。。。

2)在衔接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，，，，，，，，在衔接筛选器规定中输入：127.0.0.1 * * allow t3t3s，，，，，，，，0.0.0.0/0 * *deny t3 t3s(t3和t3s和谈的所有端口只允许本地接见)。。。。。。。。

3）保留后需沉新启动，，，，，，，，规定方可生效。。。。。。。。

禁用IIOP和谈，，，，，，，，具体操作：

登陆WebLogic节造台，，，，，，，，base_domain >服务器概要 >AdminServer

0x03 参考链接

https://www.oracle.com/security-alerts/cpuoct2021.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22931

0x04 更新版本

版本	日期	批改内容
V1.0	2021-10-20	初次颁布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

CVSS：www.first.org

NVD：nvd.nist.gov

0x06 关于8827太阳集团

关注以下公家号，，，，，，，，获取更多资讯：

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】