Oracle多个产品高危漏洞安全风险通告

发布于 作者:

Oracle多个产品高危漏洞安全风险通告

奇安信 CERT 2023-04-19 10:03

奇安信CERT

致力于
第一时间
为企业级用户提供
权威
漏洞情报和
有效
解决方案。

安全通告

Oracle官方发布了2023年4月的关键安全补丁集合更新CPU(Critical Patch Update),修复了多个漏洞包括CVE-2023-21912、CVE-2023-21996、CVE-2023-21931、CVE-2023-21964、CVE-2023-21979、CVE-2023-21956、CVE-2023-21960等。其中Oracle MySQL Server拒绝服务漏洞(CVE-2023-21912)、Oracle WebLogic Server 拒绝服务漏洞(CVE-2023-21996、CVE-2023-21964)、Oracle WebLogic Server 敏感信息泄露漏洞(CVE-2023-21931、CVE-2023-21979)影响较为严重。
鉴于这些漏洞危害性较大,奇安信CERT建议客户尽快应用本次关键安全补丁集合(CPU)。

漏洞信息

Oracle 官方发布了2023年04月的关键补丁程序更新CPU(Critical Patch Update),其中修复了多个产品漏洞。

CVE编号
影响组件
协议
远程未授权利用
CVSS
受影响版本
CVE-2023-21912
MySQL   Server: Security: Privileges
MySQL Protocol
7.5
5.7.41   and prior,
8.0.30   and prior
CVE-2023-21996
Oracle WebLogic Server(Web Services)
HTTP
7.5
12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2023-21931
Oracle WebLogic Server(Core)
T3
7.5
12.2.1.3.0,
12.2.1.4.0,
14.1.1.0.0
CVE-2023-21964
Oracle WebLogic Server(Core)
T3
7.5
12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2023-21979
Oracle WebLogic Server(Core)
T3
7.5
12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2023-21956
Oracle WebLogic Server(Web Container)
HTTP
6.1
12.2.1.4.0, 14.1.1.0.0
CVE-2023-21960
Oracle WebLogic Server(Core)
HTTP
5.6
12.2.1.3.0, 12.2.1.4.0

2021年10月是Oracle WebLogic Server 10.3.6的最终版CPU,目前官方已停止维护。

值得关注的漏洞如下:

1. Oracle MySQL Server拒绝服务漏洞(CVE-2023-21912)

漏洞名称

Oracle MySQL Server 拒绝服务漏洞

漏洞类型

拒绝服务

风险等级

高危

漏洞ID

CVE-2023-21912

公开状态

未公开

在野利用

未发现

漏洞描述

未经身份验证的远程攻击者可通过 MySQL 协议网络访问MySQL Server,成功利用此漏洞可导致目标 MySQL Server 挂起或频繁重复崩溃,造成拒绝服务攻击。

参考链接

https://www.oracle.com/security-alerts/cpuapr2023.html

2. Oracle WebLogic Server拒绝服务漏洞(CVE-2023-21996)

漏洞名称

Oracle WebLogic Server 拒绝服务漏洞

漏洞类型

拒绝服务

风险等级

高危

漏洞ID

CVE-2023-21996

公开状态

未公开

在野利用

未发现

漏洞描述

 Oracle WebLogic Server 中存在拒绝服务漏洞。未经身份验证的远程攻击者通过HTTP进行网络访问,从而危害Oracle WebLogic Server。成功利用此漏洞会导致 Oracle WebLogic Server 挂起或频繁重复崩溃,造成拒绝服务攻击。

参考链接

https://www.oracle.com/security-alerts/cpuapr2023.html

3.Oracle WebLogic Server拒绝服务漏洞(CVE-2023-21964)

漏洞名称

Oracle WebLogic Server 拒绝服务漏洞

漏洞类型

拒绝服务

风险等级

高危

漏洞ID

CVE-2023-21964

公开状态

未公开

在野利用

未发现

漏洞描述

 Oracle WebLogic Server 中存在拒绝服务漏洞。未经身份验证的远程攻击者通过 T3 进行网络访问,从而危害 Oracle WebLogic Server。成功利用此漏洞会导致 Oracle WebLogic Server 挂起或频繁重复崩溃,造成拒绝服务攻击。

参考链接

https://www.oracle.com/security-alerts/cpuapr2023.html

4.Oracle WebLogic Server敏感信息泄露漏洞(CVE-2023-21931)

漏洞名称

Oracle WebLogic Server 敏感信息泄露漏洞

漏洞类型

信息泄露

风险等级

高危

漏洞ID

CVE-2023-21931

公开状态

未公开

在野利用

未发现

漏洞描述

Oracle WebLogic Server中存在敏感信息泄露漏洞。未经身份验证的远程攻击者通过T3进行网络访问,从而危害Oracle WebLogic Server。此漏洞的成功攻击可能导致对关键数据的未经授权的访问或对所有Oracle WebLogic Server可访问数据的完全访问。

参考链接

https://www.oracle.com/security-alerts/cpuapr2023.html

5.Oracle WebLogic Server敏感信息泄露漏洞(CVE-2023-21979)

漏洞名称

Oracle WebLogic Server 敏感信息泄露漏洞

漏洞类型

信息泄露

风险等级

高危

漏洞ID

CVE-2023-21979

公开状态

未公开

在野利用

未发现

漏洞描述

Oracle WebLogic Server中存在敏感信息泄露漏洞。未经身份验证的远程攻击者通过T3进行网络访问,从而危害Oracle WebLogic Server。此漏洞的成功攻击可能导致对关键数据的未经授权的访问或对所有Oracle WebLogic Server可访问数据的完全访问。造成敏感信息泄露。

参考链接

https://www.oracle.com/security-alerts/cpuapr2023.html

影响范围

CVE编号

受影响版本

CVE-2023-21912

Oracle MySQL Server 5.7.41 and prior

Oracle MySQL Server 8.0.30 and prior

CVE-2023-21996

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

CVE-2023-21931

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

CVE-2023-21964

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

CVE-2023-21979

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

CVE-2023-21956

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

CVE-2023-21960

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

处置建议

请参考以下链接尽快修复:

https://www.oracle.com/security-alerts/cpuapr2023.html

Oracle WebLogic Server升级方式

  1. Oracle WebLogic Server 11g: 
bsu.cmd -install -patch_download_dir=C:\Oracle\Middleware\utils\bsu\cache_dir -patchlist=3L3H -prod_dir=C:\Oracle\Middleware\wlserver_10.3

出现以上提示代表补丁安装成功。

  1. Oracle WebLogic Server 12c:

使用opatch apply 安装补丁 

C:\Oracle\Middleware\Oracle_Home\OPatch>opatch apply 本机补丁地址

注:
补丁编号请自行更改为新补丁编号。

若非必须开启,请禁用T3协议。

禁用T3协议具体操作步骤如下:

进入WebLogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。

在连接筛选器中输入:WebLogic.security.net.ConnectionFilterImpl,参考以下写法,在连接筛选器规则中配置符合企业实际情况的规则: 

127.0.0.1 * * allow t3 t3s
本机IP * * allow t3 t3s
允许访问的IP * * allow t3 t3s 
* * * deny t3 t3s

连接筛选器规则格式如下:target localAddress localPort action protocols,其中:

target 指定一个或多个要筛选的服务器。

localAddress 可定义服务器的主机地址。(如果指定为一个星号 (*),则返回的匹配结果将是所有本地 IP 地址。)

localPort 定义服务器正在监听的端口。(如果指定了星号,则匹配返回的结果将是服务器上所有可用的端口)。

action 指定要执行的操作。(值必须为“allow”或“deny”。)

protocols 是要进行匹配的协议名列表。(必须指定下列其中一个协议:http、https、t3、t3s、giop、giops、dcom 或 ftp。) 如果未定义协议,则所有协议都将与一个规则匹配。

保存后若规则未生效,建议重新启动WebLogic服务(重启WebLogic服务会导致业务中断,建议相关人员评估风险后,再进行操作)。以Windows环境为例,重启服务的步骤如下:

进入域所在目录下的bin目录,在Windows系统中运行stopWebLogic.cmd文件终止WebLogic服务,Linux系统中则运行stopWebLogic.sh文件。

待终止脚本执行完成后,再运行startWebLogic.cmd或startWebLogic.sh文件启动WebLogic,即可完成WebLogic服务重启。

参考资料

[1]https://www.oracle.com/security-alerts/cpuapr2023.html

时间线

2023年4月19日,
奇安信 CERT发布安全风险通告。

点击阅读原文
到奇安信NOX-安全监测平台查询更多漏洞详情