Oracle多款产品高危漏洞风险提示
近日,WebRAY安全服务部监测到Oracle官网对旗下多款产品发布了共计419个安全补丁,包含Oracle Weblogic Server在内的多个无需身份验证即可远程利用的漏洞被公开,由于该类漏洞易于利用且影响范围较广,WebRAY安全服务部建议相关用户及时更新补丁。
Oracle(甲骨文公司)是1977年成立于美国加州的软件公司,如今,Oracle公司已经发展成为全球最大的企业软件供应商之一,可以为客户提供全面、开放、集成的技术和应用管理应用软件。WebLogic是美国Oracle公司出品的一款基于JAVAEE架构的中间件,是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
WebRAY安全服务部也将持续关注该漏洞进展,第一时间为您更新该漏洞信息。
漏洞概述
部分漏洞简介:
CVE-2021-35617:由于Oracle WebLogic Server组件存在的验证问题导致攻击者可对存在漏洞的组件进行远程攻击,成功利用该漏洞即可获取服务器权限。
CVE-2018-8088:漏洞存在于1.8.0-beta2之前slf4j-ext模块的 org.slf4j.ext.EventData类中,该漏洞允许远程攻击者通过精心设计的数据绕过预期的访问限制。
影响范围
漏洞等级
WebRAY安全服务部风险评级:高危
修复建议
1、如果不依赖T3、IIOP协议进行JVM通信,可禁用T3、IIOP协议。
2、参考Oracle官网发布的补丁信息:
https://www.oracle.com/security-alerts/cpuoct2021.html