信息安全Oracle发布2021年第三季度weblogic漏洞公告
Posted cnskylee
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了信息安全Oracle发布2021年第三季度weblogic漏洞公告相关的知识,希望对你有一定的参考价值。
Oracle于7月20日(北京时间大约7月21日凌晨)发布了2021年第三季度旗下产品的漏洞公告。
其中涉及Oracle WebLogic中间件产品(Oracle仍在提供技术支持的版本)的漏洞共 7 个,CVSS基础分值(分值越高,安全风险等级越高,10分为满分) 9.8 分的有三个,分别是CVE-2021-2394、CVE-2021-2397、CVE-2021-2382,其中CVE-2021-2397、CVE-2021-2382则是Oracle官方强烈推荐用户修复(包括JDK版本和产品自带的Coherence组件)的两个高危漏洞。受影响的版本则包括了目前Oracle官方仍在提供技术支持(部分技术支持为延长)的全部五个主流版本。
- CVE-2021-2382 - Oracle highly recommends upgrading the JDK to the most recent version and applying the latest relevant patches to overcome listed additional CVE(s)
- CVE-2021-2397 - Oracle highly recommends applying the latest Coherence patch to overcome listed additional CVE(s)
此外,Oracle JDK的两个主流版本的小版本分别升级到了1.7.0_311、1.8.0_301。
- 10.3.6.0.0
- 12.1.3.0.0
- 12.2.1.3.0
- 12.2.1.4.0
- 14.1.1.0.0
附1:2021年第三季度 WebLogic 漏洞清单
| CVE-ID | 受影响的产品 | 产品组件 | 协议 | 远程利用无需授权? | 基础分值 | 攻击媒介 | 攻击复杂度 | 受影响的 产品版本 (官方仍提供技术支持的版本) |
| CVE-2021-2394 | Oracle WebLogic Server | Core | T3, IIOP | Yes | 9.8 | Network | Low | 10.3.6.0.0, 12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
| CVE-2021-2397 | Oracle WebLogic Server | Core | T3, IIOP | Yes | 9.8 | Network | Low | 10.3.6.0.0, 12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
| CVE-2021-2382 | Oracle WebLogic Server | Security | T3, IIOP | Yes | 9.8 | Network | Low | 10.3.6.0.0, 12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
| CVE-2021-2378 | Oracle WebLogic Server | Core | T3, IIOP | Yes | 7.5 | Network | Low | 10.3.6.0.0, 12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
| CVE-2021-2376 | Oracle WebLogic Server | Web Services | T3, IIOP | Yes | 7.5 | Network | Low | 10.3.6.0.0, 12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
| CVE-2015-0254 | Oracle WebLogic Server | Third Party Tools (Apache Standard Taglibs) | HTTP | Yes | 7.3 | Network | Low | 10.3.6.0.0 12.1.3.0.0 |
| CVE-2021-2403 | Oracle WebLogic Server | Core | HTTP | Yes | 5.3 | Network | Low | 10.3.6.0.0, 12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
附2:2021年第三季度累积补丁ID以及漏洞涉及的CVE编号
| 各版本WebLogic本次累积补丁ID | 涉及的最新CVE漏洞编号 |
| WLS PATCH SET UPDATE 10.3.6.0.210720 Patch 32832785 or later | CVE-2015-0254 CVE-2021-2397 CVE-2021-2376 CVE-2021-2378 CVE-2021-2382 CVE-2021-2403 CVE-2021-2394 |
| WLS PATCH SET UPDATE 12.1.3.0.210720 Patch 32832660 or later | CVE-2015-0254 CVE-2021-2397 CVE-2021-2376 CVE-2021-2378 CVE-2021-2382 CVE-2021-2403 CVE-2021-2394 |
| WLS PATCH SET UPDATE 12.2.1.3.210630 Patch 33064699 or later | CVE-2021-2397 CVE-2021-2376 CVE-2021-2378 CVE-2021-2382 CVE-2021-2403 CVE-2021-2394 |
| WLS PATCH SET UPDATE 12.2.1.4.210629 Patch 33059296 or later | CVE-2021-2397 CVE-2021-2376 CVE-2021-2378 CVE-2021-2382 CVE-2021-2403 CVE-2021-2394 |
| WLS PATCH SET UPDATE 14.1.1.0.210701 Patch 33069656 or later | CVE-2021-2397 CVE-2021-2376 CVE-2021-2378 CVE-2021-2382 CVE-2021-2403 CVE-2021-2394 |
补丁和补丁方案,有需要的自行搜索下载……
以上是关于信息安全Oracle发布2021年第三季度weblogic漏洞公告的主要内容,如果未能解决你的问题,请参考以下文章