Oracle于7月20日(北京時間大約7月21日凌晨)發布了2021年第三季度旗下產品的漏洞公告,
其中涉及Oracle WebLogic中間件產品(Oracle仍在提供技術支持的版本)的漏洞共 7 個,CVSS基礎分值(分值越高,安全風險等級越高,10分為滿分) 9.8 分的有三個,分別是CVE-2021-2394、CVE-2021-2397、CVE-2021-2382,其中CVE-2021-2397、CVE-2021-2382則是Oracle官方強烈推薦用戶修復(包括JDK版本和產品自帶的Coherence組件)的兩個高危漏洞,受影響的版本則包括了目前Oracle官方仍在提供技術支持(部分技術支持為延長)的全部五個主流版本,
- CVE-2021-2382 - Oracle highly recommends upgrading the JDK to the most recent version and applying the latest relevant patches to overcome listed additional CVE(s)
- CVE-2021-2397 - Oracle highly recommends applying the latest Coherence patch to overcome listed additional CVE(s)
此外,Oracle JDK的兩個主流版本的小版本分別升級到了1.7.0_311、1.8.0_301,
- 10.3.6.0.0
- 12.1.3.0.0
- 12.2.1.3.0
- 12.2.1.4.0
- 14.1.1.0.0
附1:2021年第三季度 WebLogic 漏洞清單
| CVE-ID | 受影響的產品 | 產品組件 | 協議 | 遠程利用無需授權? | 基礎分值 | 攻擊媒介 | 攻擊復雜度 | 受影響的 產品版本 (官方仍提供技術支持的版本) |
| CVE-2021-2394 | Oracle WebLogic Server | Core | T3, IIOP | Yes | 9.8 | Network | Low | 10.3.6.0.0, 12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
| CVE-2021-2397 | Oracle WebLogic Server | Core | T3, IIOP | Yes | 9.8 | Network | Low | 10.3.6.0.0, 12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
| CVE-2021-2382 | Oracle WebLogic Server | Security | T3, IIOP | Yes | 9.8 | Network | Low | 10.3.6.0.0, 12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
| CVE-2021-2378 | Oracle WebLogic Server | Core | T3, IIOP | Yes | 7.5 | Network | Low | 10.3.6.0.0, 12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
| CVE-2021-2376 | Oracle WebLogic Server | Web Services | T3, IIOP | Yes | 7.5 | Network | Low | 10.3.6.0.0, 12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
| CVE-2015-0254 | Oracle WebLogic Server | Third Party Tools (Apache Standard Taglibs) | HTTP | Yes | 7.3 | Network | Low | 10.3.6.0.0 12.1.3.0.0 |
| CVE-2021-2403 | Oracle WebLogic Server | Core | HTTP | Yes | 5.3 | Network | Low | 10.3.6.0.0, 12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
附2:2021年第三季度累積補丁ID以及漏洞涉及的CVE編號
| 各版本WebLogic本次累積補丁ID | 涉及的最新CVE漏洞編號 |
| WLS PATCH SET UPDATE 10.3.6.0.210720 Patch 32832785 or later | CVE-2015-0254 CVE-2021-2397 CVE-2021-2376 CVE-2021-2378 CVE-2021-2382 CVE-2021-2403 CVE-2021-2394 |
| WLS PATCH SET UPDATE 12.1.3.0.210720 Patch 32832660 or later | CVE-2015-0254 CVE-2021-2397 CVE-2021-2376 CVE-2021-2378 CVE-2021-2382 CVE-2021-2403 CVE-2021-2394 |
| WLS PATCH SET UPDATE 12.2.1.3.210630 Patch 33064699 or later | CVE-2021-2397 CVE-2021-2376 CVE-2021-2378 CVE-2021-2382 CVE-2021-2403 CVE-2021-2394 |
| WLS PATCH SET UPDATE 12.2.1.4.210629 Patch 33059296 or later | CVE-2021-2397 CVE-2021-2376 CVE-2021-2378 CVE-2021-2382 CVE-2021-2403 CVE-2021-2394 |
| WLS PATCH SET UPDATE 14.1.1.0.210701 Patch 33069656 or later | CVE-2021-2397 CVE-2021-2376 CVE-2021-2378 CVE-2021-2382 CVE-2021-2403 CVE-2021-2394 |
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/289737.html
標籤:其他