【信息安全】Oracle发布2021年第三季度weblogic漏洞公告

已于 2022-01-26 08:04:59 修改
阅读量930 收藏
点赞数
分类专栏: WebLogic 文章标签: 安全漏洞 weblogic 信息安全
于 2021-07-21 07:46:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cnskylee/article/details/118957729
版权

       Oracle于7月20日(北京时间大约7月21日凌晨)发布了2021年第三季度旗下产品的漏洞公告。

       其中涉及Oracle WebLogic中间件产品(Oracle仍在提供技术支持的版本)的漏洞共 7 个,CVSS基础分值(分值越高,安全风险等级越高,10分为满分) 9.8 分的有三个,分别是CVE-2021-2394、CVE-2021-2397CVE-2021-2382,其中CVE-2021-2397CVE-2021-2382则是Oracle官方强烈推荐用户修复(包括JDK版本和产品自带的Coherence组件)的两个高危漏洞。受影响的版本则包括了目前Oracle官方仍在提供技术支持(部分技术支持为延长)的全部五个主流版本。

  • CVE-2021-2382 - Oracle highly recommends upgrading the JDK to the most recent version and applying the latest relevant patches to overcome listed additional CVE(s)
  • CVE-2021-2397 - Oracle highly recommends applying the latest Coherence patch to overcome listed additional CVE(s)

       此外,Oracle JDK的两个主流版本的小版本分别升级到了1.7.0_311、1.8.0_301。

  • 10.3.6.0.0
  • 12.1.3.0.0
  • 12.2.1.3.0
  • 12.2.1.4.0
  • 14.1.1.0.0

附1:2021年第三季度 WebLogic 漏洞清单

CVE-ID受影响的产品产品组件协议远程利用无需授权?基础分值攻击媒介攻击复杂度受影响的
产品版本
(官方仍提供技术支持的版本)
CVE-2021-2394Oracle WebLogic ServerCoreT3, IIOPYes9.8NetworkLow10.3.6.0.0,
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2021-2397Oracle WebLogic ServerCoreT3, IIOPYes9.8NetworkLow10.3.6.0.0,
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2021-2382Oracle WebLogic ServerSecurityT3, IIOPYes9.8NetworkLow10.3.6.0.0,
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2021-2378Oracle WebLogic ServerCoreT3, IIOPYes7.5NetworkLow10.3.6.0.0,
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2021-2376Oracle WebLogic ServerWeb ServicesT3, IIOPYes7.5NetworkLow10.3.6.0.0,
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2015-0254Oracle WebLogic ServerThird Party Tools (Apache Standard Taglibs)HTTPYes7.3NetworkLow10.3.6.0.0
12.1.3.0.0
CVE-2021-2403Oracle WebLogic ServerCoreHTTPYes5.3NetworkLow10.3.6.0.0,
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0

附2:2021年第三季度累积补丁ID以及漏洞涉及的CVE编号

各版本WebLogic本次累积补丁ID涉及的最新CVE漏洞编号
WLS PATCH SET UPDATE 10.3.6.0.210720 Patch 32832785 or laterCVE-2015-0254
CVE-2021-2397
CVE-2021-2376
CVE-2021-2378
CVE-2021-2382
CVE-2021-2403
CVE-2021-2394
WLS PATCH SET UPDATE 12.1.3.0.210720 Patch 32832660 or laterCVE-2015-0254
CVE-2021-2397
CVE-2021-2376
CVE-2021-2378
CVE-2021-2382
CVE-2021-2403
CVE-2021-2394
WLS PATCH SET UPDATE 12.2.1.3.210630 Patch 33064699 or laterCVE-2021-2397
CVE-2021-2376
CVE-2021-2378
CVE-2021-2382
CVE-2021-2403
CVE-2021-2394
WLS PATCH SET UPDATE 12.2.1.4.210629 Patch 33059296 or laterCVE-2021-2397
CVE-2021-2376
CVE-2021-2378
CVE-2021-2382
CVE-2021-2403
CVE-2021-2394
WLS PATCH SET UPDATE 14.1.1.0.210701 Patch 33069656 or laterCVE-2021-2397
CVE-2021-2376
CVE-2021-2378
CVE-2021-2382
CVE-2021-2403
CVE-2021-2394

补丁和补丁方案,有需要的自行搜索下载……

cnskylee
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
oracle产品安全漏洞,[预警资讯]Oracle 多个产品安全漏洞通告
weixin_36245958的博客
04-09 165
0x00 漏洞概述产品CVE ID类 型漏洞等级远程利用影响范围WebLogicCVE-2020-14625严重是WebLogic 12.2.1.3.0WebLogic 12.2.1.4.0WebLogic14.1.1.0.0CVE-2020-14644严重是CVE-2020-14687严重是CVE-2020-14645严重是WebLogic 10.3.6.0.0WebLogic 12.1.3.0...
CVE补丁安全漏洞【学习笔记】
07-23 1070
更新安卓系统的CVE补丁网站:https://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-19997/version_id-201744/ 在搜索结果中选择:带CONFIRM的链接,到转到该链接,在搜索相关的漏洞CVE编号,合入相关代码即可。 搜索相关漏洞CVE编号 转...
漏洞补丁:漏洞命名(CVE和CNNVD)及补丁查找
热门推荐
guyuelin123的博客
10-18 1万+
截图为报告的部分内容,里面包含了编号,描述,解决地址。这里对 CVE编号,CVSS分值,国家漏洞库编号(CNNVD)等几个主要名称含义进行记录。
漏洞payload 靶机_漏洞复现:ActiveMQ反序列化漏洞(CVE20155254)
weixin_39795971的博客
12-28 263
文章说明漏洞复现是为了学习漏洞利用所写,漏洞都是互联网上以流传已久的各种漏洞的利用及原理,用来增强自己见识,培养自己动手能力,有兴趣的朋友可自行搭建环境练习。源码下载连接在文章最后。漏洞说明Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。Apache ActiveMQ 5....
DNS域传送漏洞CVE-2015-5254)
Kevin's Blog
07-16 983
一、漏洞原理   DNS协议支持使用AXFR类型的记录进行区域传送,用来解决主从同步问题,如果管理员在配置DNS服务器的时候没有限制允许获取记录的来源,将会导致DNS域传送漏洞。 (AXFR(完全区域传输),为了为新的服务器添加到网络配置为现有区域的新辅助服务器时,进行从主要区域中复制和同步所有区域副本,来保证解析名称查询时的可用性和容错。) 二、测试方法 方法一: /# 使用dig命令发送d...
WebLogic11G2021第4季度补丁.rar
10-27
这个补丁包"WebLogic11G2021第4季度补丁.rar"是针对WebLogic Server 10.3.6版本在202110月19日发布的安全性与功能增强更新,补丁编号为p33172858。 1. **补丁的重要性**:WebLogic Server作为关键的企业级服务...
WebLogic11G2021第4季度补丁202110月19日 10.3.6.0.211019
04-09
2021第四季度发布的补丁,版本号10.3.6.0.211019,是为了确保系统的稳定性和安全性,对WebLogic Server 11g进行的一次关键更新。 该补丁可能包含了以下方面的改进和修复: 1. **安全更新**:Oracle WebLogic ...
Weblogic 20211月漏洞补丁 10.3.6.210119
04-19
20211月,Oracle发布了针对WebLogic Server的版本10.3.6的重要安全补丁,编号为10.3.6.210119,以修复一系列的安全漏洞。这些漏洞可能被恶意攻击者利用,对运行WebLogic的系统造成严重威胁,包括数据泄露、系统...
20214月weblogic最新补丁
05-11
20214月,WebLogic发布了一个重要的补丁,针对版本10.3.6.0.0,这个补丁编号为32403651。这次更新主要是为了提升系统的安全性、稳定性和性能,解决了一些已知的问题,以确保用户能够运行更加可靠和安全的应用...
202111月补丁weblogic12c 12.1.3版本p33172866_121300_Generic.zip
11-03
202111月发布的补丁p33172866_121300_Generic.zip是针对WebLogic Server 12.1.3版本的重要安全更新和性能优化集合。 这个补丁的主要目的是解决已知的安全漏洞和潜在的稳定性问题,以确保WebLogic Server用户能够...
Oracle 警告:Weblogic 服务器中含有多个可遭远程利用的严重漏洞
smellycat000的专栏
07-23 294
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士本周二,Oracle 发布20217月关键补丁季度更新,发布了多款产品的342个修复方案,其中某些可遭远程攻击者用于控制受影响系...
Weblogic反序列化漏洞分析之CVE-2021-2394
最新发布
shelter1234567的博客
02-02 1041
Oracle官方发布20217月份安全更新通告,通告中披露了WebLogic组件存在高危漏洞,攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。剧透一下:这是一个二次反序列化漏洞,是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。...} else {......//抽象方法...此类的。
cve-2021-2394 weblogic反序列化漏洞分析
小陈的博客
08-10 711
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
Weblogic远程代码执行分析复现(CVE-2021-2109)
黑白的博客
05-03 879
声明 好好学习,天天向上 漏洞描述 编号:CVE-2021-2109 Oracle官方发布漏洞补丁,修了包括 CVE-2021-2109 Weblogic Server远程代码执行漏洞在内的多个高危严重漏洞CVE-2021-2109 中,攻击者可构造恶意请求,造成JNDI注入,执行任意代码,从而控制服务器。 影响范围 WebLogic 10.3.6.0.0 WebLogic 12.1.3.0.0 WebLogic 12.2.1.3.0 WebLogic 12.2.1.4.0 WebLogic 14.1.
【web安全】Weblogic CVE-2021-2394 分析
qq_53058639的博客
01-06 224
20217月21日,Oracle官方 发布了一系列安全更新。涉及旗下产品(Weblogic Server、Database Server、Java SE、MySQL等)的 342 个漏洞WebLogic Server 产品中有高危漏洞漏洞编号为 CVE-2021-2594,CVSS 评分9.8分,影响多个 WebLogic 版本,且漏洞利用难度低,可基于 T3 和 IIOP 协议执行远程代码。
WebLogic反序列化漏洞复现+利用工具(CVE-2021-2394)
0xSec
04-08 4430
Oracle官方发布20217月份安全更新通告,通告中披露了WebLogic组件存在高危漏洞,攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。这是一个二次反序列化漏洞,是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。
Confluence CVE-2021-26084远程代码执行漏洞复现
Websec
09-08 1万+
一、漏洞概述 近日,Atlassian官方发布了ConfluenceServerWebworkOGNL注入漏洞CVE-2021-26084)的安全公告,远程攻击者在经过身份验证或在特定环境下未经身份验证的情况下,可构造OGNL表达式进行注入,实现在 Confluence Server或Data Center上执行任意代码,CVSS评分为9.8。请相关用户尽快采取措施进行防护。 Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具,...
WebLogic CVE-2021-2394 RCE 漏洞分析
HBohan的博客
07-26 2618
漏洞简述 20213月15日墨云安全V-Lab实验室向Oracle官方报告了Weblogic Server RCE漏洞,20217月21日Oracle发布了致谢信息。 这是一个二次反序列化漏洞,是cve-2020-14756和cve-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。 漏洞分析 最开始我是发现了oracle.eclipselink.coherence.integrated.internal.cache.SerializationHelper类中的re.
【EXP已验证】CVE-2021-34527: Windows Print Spooler 蠕虫级远程代码执行0day漏洞通告
爱国小白帽
07-02 1622
报告编号:B6-2021-062902 报告来源:360CERT 报告作者:360CERT 更新日期:2021-07-02 1 更新概览 1.漏洞简述新增360CERT对CVE-2021-34527(PrintNightmare)的研判 2.漏洞详情新增相关验证截图 2 漏洞简述 202106月29日,360CERT监测发现安全研究人员在GitHub上公开了Windows Print Spooler 蠕虫级远程代码执行0day漏洞的EXP,漏洞等级:严重,漏洞评分:10.0。 Windows Print
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cnskylee

技术分享我是认真的,期待您打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值