一、漏洞详情
oracle官方发布了2022年7月安全更新公告,包含了其家族weblogic server在内的多个产品安全漏洞公告,其中oracle weblogic server拒绝服务漏洞cve-2022-21548和cve-2022-21560风险较高,成功利用漏洞可能会导致oracle weblogic server一定程度的拒绝服务。
oracle weblogic server拒绝服务漏洞(cve-2022-21306):存在于weblogic server core中,该漏洞允许未经身份验证的攻击者通过 t3、iiop 进行网络访问来破坏oracle weblogic server。成功利用此漏洞可导致对某些oracle weblogic server可访问数据的未经授权的更新、插入或删除访问,以及对oracle weblogic server一定程度的拒绝服务。
oracle weblogic server拒绝服务漏洞(cve-2022-21560):存在于weblogic server core中,该漏洞允许未经身份验证的攻击者通过 t3、iiop进行网络访问来破坏oracle weblogic server。成功利用此漏洞可能会导致oracle weblogic server的部分拒绝服务。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
cve-2022-21548漏洞影响以下oracle weblogic server版本:
weblogic server 12.2.1.3.0版本
weblogic server 12.2.1.4.0版本
weblogic server 14.1.1.0.0版本
cve-2022-21560漏洞影响以下oracle weblogic server版本:
weblogic server 12.2.1.3.0版本
weblogic server 12.2.1.4.0版本
weblogic server 14.1.1.0.0版本
三、修复建议
目前oracle已发布升级补丁修复了上述漏洞,请用户参考官方通告及时下载更新补丁,并参照补丁包中的readme文件进行安装。
补丁获取链接:https://www.oracle.com/security-alerts/cpujul2022.html
