【漏洞详情】
近日,Oracle发布2021年1月关键补丁更新,修复了多个存在于WebLogic中的高危安全漏洞,其中影响较大的漏洞如下:
1、CVE-2021-1994:
攻击者可以在未授权的情况下通过HTTP协议访问并破坏Oracle WebLogic Server。成功利用后可接管WebLogic Server;
2、CVE-2021-2047/CVE-2021-2064/CVE-2021-2108/CVE-2021-2075:
攻击者可以在未授权的情况下通过IIOP、T3 协议对存在漏洞的WebLogic Server 组件进行攻击。成功利用后可接管WebLogic Server。
【风险评级】
高危
【影响范围】
漏洞编号 |
影响组件 |
协议 |
影响版本 |
CVE-2021-1994 |
Web Services |
HTTP |
10.3.6.0.0 |
CVE-2021-2047 |
WLS Core Components |
IIOP/T3 |
10.3.6.0.0 |
CVE-2021-2064 |
WLS Core Components |
IIOP/T3 |
12.1.3.0.0 |
CVE-2021-2108 |
WLS Core Components |
IIOP/T3 |
12.1.3.0.0 |
CVE-2021-2075 |
Samples |
IIOP/T3 |
10.3.6.0.0 |
CVE-2021-2066 |
Outside In Filters |
HTTP |
8.5.4 |
CVE-2021-2067 |
Outside In Filters |
HTTP |
8.5.4 |
CVE-2021-2068 |
Outside In Filters |
HTTP |
8.5.4 |
CVE-2021-2069 |
Outside In Filters |
HTTP |
8.5.4 |
CVE-2021-2109 |
Console |
HTTP |
10.3.6.0.0 |
【修复建议】
建议受影响用户综合评估漏洞风险和业务影响,下载并升级官方最新补丁,及时进行加固修复,避免安全风险。
【参考链接】
https://www.oracle.com/security-alerts/cpujan2021.html
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2021年1月20日