【漏洞资讯】Oracle WebLogic多个组件漏洞安全风险通告
漏洞介绍
Oracle官方发布了2022年1月的关键安全补丁集合更新Critical Patch Update,修复了多个存在于WebLogic中的漏洞包括CVE-2022-21306、CVE-2022-21292、CVE-2022-21371、CVE-2022-21252、CVE-2022-21347、CVE-2022-21350、CVE-2022-21353。
其中CVE-2022-21306影响较为严重。
|
漏洞名称
|
Oracle WebLogic多个组件漏洞安全风险通告
|
|
威胁等级
|
high
|
|
漏洞威胁
|
Oracle WebLogic
|
|
影响范围
|
见下表格
|
|
漏洞类型
|
RCE&MORE
|
|
利用难度
|
N/A
|
|
漏洞编号
|
见下表格
|
|
是否有POC
|
N/A
|
漏洞详情
Oracle 官方发布了2022年1月的关键补丁程序更新CPU(Critical Patch Update),其中修复了多个存在于WebLogic中的漏洞。
|
CVE编号
|
影响组件
|
协议
|
是否远程未授权利用
|
CVSS
|
受影响版本
|
|
CVE-2022-21306
|
Oracle WebLogic Server(Core)
|
T3
|
是
|
9.8
|
12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
|
|
CVE-2022-21292
|
Oracle WebLogic Server(Samples)
|
HTTP
|
是
|
7.5
|
12.2.1.4.0, 14.1.1.0.0
|
|
CVE-2022-21371
|
Oracle WebLogic Server (Web Container)
|
HTTP
|
是
|
7.5
|
12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
|
|
CVE-2022-21252
|
Oracle WebLogic Server(Samples)
|
HTTP
|
是
|
6.5
|
12.2.1.4.0, 14.1.1.0.0
|
|
CVE-2022-21347
|
Oracle WebLogic Server(Core)
|
T3
|
是
|
6.5
|
12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
|
|
CVE-2022-21350
|
Oracle WebLogic Server(Core)
|
T3
|
是
|
6.5
|
12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
|
|
CVE-2022-21353
|
Oracle WebLogic Server(Core)
|
T3
|
是
|
6.5
|
12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
|
值得关注的漏洞如下:
1. CVE-2022-21306(Oracle WebLogic Server远程代码执行漏洞)
攻击者可以在未授权的情况下通过T3协议对存在漏洞的Oracle WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管Oracle WebLogic Server。
2. CVE-2022-21292、CVE-2022-21371(Oracle WebLogic Server信息泄漏漏洞)
未经身份验证的攻击者可通过 HTTP 协议对存在漏洞的Oracle WebLogic Server组件进行攻击。成功利用该漏洞可能导致对关键数据的非法访问或对所有Oracle WebLogic Server可访问数据的完全访问,造成敏感信息泄露。
影响范围
|
CVE编号
|
受影响版本
|
|
CVE-2022-21306
|
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
|
|
CVE-2022-21292
|
12.2.1.4.0
14.1.1.0.0
|
|
CVE-2022-21371
|
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
|
|
CVE-2022-21252
|
12.2.1.4.0
14.1.1.0.0
|
|
CVE-2022-21347
|
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
|
|
CVE-2022-21350
|
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
|
|
CVE-2022-21353
|
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
|
修复方式
升级新版本,参考:
https://www.oracle.com/security-alerts/cpujan2022.html
Oracle WebLogic Server升级方式
Oracle WebLogic Server 11g:
bsu.cmd -install -patch_download_dir=C:\Oracle\Middleware\utils\bsu\cache_dir -patchlist=3L3H -prod_dir=C:\Oracle\Middleware\wlserver_10.3
参考链接
官方:https://www.oracle.com/security-alerts/cpujan2022.html#AppendixFMW
官方 平安集团安全部银河实验室官方博客