关于Oracle WebLogic Server多个高危漏洞预警

2021-10-20

一、概要

近日，华为云关注到Oracle官方发布了2021年第四季度安全补丁更新公告，披露了多款旗下产品的安全漏洞，包括4个Weblogic相关漏洞（CVE-2021-35617, CVE-2021-35620, CVE-2021-29425, CVE-2021-35552），其中CVE-2021-35617漏洞风险高，攻击者通过发送构造恶意的请求可实现远程代码执行。

华为云提醒使用Weblogic及Oracle相关产品的用户及时安排自检并做好安全加固。

参考链接：Oracle Critical Patch Update Advisory - October2021

本次Oracle季度安全更新共涉及419个安全漏洞，除Oracle Weblogic外，还包括Oracle Communications、Oracle Financial Services Applications 、Oracle Insurance Applications、Oracle MySQL等产品，具体漏洞信息请参考官方链接。

二、漏洞级别

漏洞级别：【严重】

（说明：漏洞级别共四级：一般、重要、严重、紧急）

三、Weblogic漏洞说明详情

CVE编号	影响组件	严重程度	受影响版本
CVE-2021-35617	Coherence Container	严重	12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2021-35620	Core	重要	10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2021-29425	Console (Apache Commons IO)	一般	12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2021-35552	Diagnostics	一般	12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

（注：以上为weblogic漏洞，其他漏洞及详情请参见Oracle官方说明） 

四、漏洞影响范围

Oracle Weblogic、Oracle Communications、Oracle Financial Services Applications 、Oracle Insurance Applications、Oracle MySQL等产品

五、安全建议

官方已发布安全补丁更新，需用户持有正版软件的许可账号，登陆https://support.oracle.com后，下载最新补丁。

若无法及时更新的用户，可根据Oracle官方提供的修复建议通过取消攻击所需的网络协议或权限进行缓解。

Weblogic高危漏洞（CVE-2021-35617）可通过禁用IIOP协议来对漏洞进行缓解。

注意：修复漏洞前请将资料备份，并进行充分测试。