Oracle 4月多个宁静漏洞 -抖圈为赌而生

首页 > 宁静研究 > 宁静通报 > 宁静通告

Oracle 4月多个宁静漏洞

宣布时间 2021-04-21

0x00 漏洞概述

2021年04月20日，Oracle宣布了4月份的宁静更新，本次宣布的宁静补丁共计390个，涉及Oracle Fusion Middleware、Oracle E-Business Suite、Oracle Communications Applications和Oracle MySQL等多个产物和组件。

0x01 漏洞详情

在本次宣布的宁静补丁中，Oracle Fusion Middleware相关的补丁为45个，其中36个漏洞无需身份验证即可远程利用。Weblogic Server部门漏洞详情如下：

Oracle WebLogic Server Coherence Container宁静漏洞（CVE-2021-2135）

未经身份验证的攻击者可以通过T3或IIOP协议发送恶意请求，最终控制服务器。该漏洞无需用户交互即可利用，其CVSS评分为9.8。

影响范围

12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0

Oracle WebLogic Server Core宁静漏洞（CVE-2021-2136）

未经身份验证的攻击者可以通过IIOP协议发送恶意请求，最终控制服务器。该漏洞无需用户交互即可利用，其CVSS评分为9.8。

影响范围

12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0

Oracle WebLogic Server TopLink Integration宁静漏洞（CVE-2021-2157）

未经身份验证的攻击者可以通过HTTP发送恶意请求，最终可以未授权访问要害数据。该漏洞无需用户交互即可利用，其CVSS评分为7.5。

影响范围

10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0

此外，在Oracle本次宣布的宁静补丁中：

与Oracle Communications Applications相关的补丁为13个，其中CVE-2020-11612和CVE-2020-28052评分为9.8，攻击者无需经过身份验证即可利用包罗这2个漏洞在内的12个宁静漏洞。

与E-Business Suite相关的补丁为70个，其中CVE-2021-2200和CVE-2021-2205评分为9.1，攻击者无需经过身份验证即可远程利用包罗这2个漏洞在内的22个宁静漏洞。

与Oracle MySQL相关的补丁为49个，无需经过身份验证即可利用的漏洞为10个，其中CVE-2021-3449和CVE-2021-3450（均为MySQL Server中的OpenSSL问题）评分分别为7.5和7.4, CVE-2021-2307为MySQL for Windows中的权限提升漏洞，该漏洞需经过验证才气利用，其CVSS评分为6.1。

0x02 处置建议

目前Oracle已经宣布相关宁静补丁，建议尽快应用。

下载链接：

https://www.oracle.com/security-alerts/cpuapr2021.html

0x03 参考链接

https://www.oracle.com/security-alerts/cpuapr2021.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-2135

https://kb.cert.org/vuls/id/567764

0x04 时间线

2021-04-20 Oracle宣布宁静更新

2021-04-21 VSRC宣布宁静通告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系

宁静研究