万利国际官网

首页 > 清静研究 > 清静转达 > 清静通告

Oracle 4月多个清静误差

宣布时间 2021-04-21

0x00 误差概述

2021年04月20日，，，，，，，Oracle宣布了4月份的清静更新，，，，，，，本次宣布的清静补丁共计390个，，，，，，，涉及Oracle Fusion Middleware、Oracle E-Business Suite、Oracle Communications Applications和Oracle MySQL等多个产品和组件。。。。。。。。

0x01 误差详情

在本次宣布的清静补丁中，，，，，，，Oracle Fusion Middleware相关的补丁为45个，，，，，，，其中36个误差无需身份验证即可远程使用。。。。。。。。Weblogic Server部分误差详情如下：

Oracle WebLogic Server Coherence Container清静误差（CVE-2021-2135）

未经身份验证的攻击者可以通过T3或IIOP协议发送恶意请求，，，，，，，最终控制效劳器。。。。。。。。该误差无需用户交互即可使用，，，，，，，其CVSS评分为9.8。。。。。。。。

影响规模

12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0

Oracle WebLogic Server Core清静误差（CVE-2021-2136）

未经身份验证的攻击者可以通过IIOP协议发送恶意请求，，，，，，，最终控制效劳器。。。。。。。。该误差无需用户交互即可使用，，，，，，，其CVSS评分为9.8。。。。。。。。

影响规模

12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0

Oracle WebLogic Server TopLink Integration清静误差（CVE-2021-2157）

未经身份验证的攻击者可以通过HTTP发送恶意请求，，，，，，，最终可以未授权会见要害数据。。。。。。。。该误差无需用户交互即可使用，，，，，，，其CVSS评分为7.5。。。。。。。。

影响规模

10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0

别的，，，，，，，在Oracle本次宣布的清静补丁中：

与Oracle Communications Applications相关的补丁为13个，，，，，，，其中CVE-2020-11612和CVE-2020-28052评分为9.8，，，，，，，攻击者无需经由身份验证即可使用包括这2个误差在内的12个清静误差。。。。。。。。

与E-Business Suite相关的补丁为70个，，，，，，，其中CVE-2021-2200和CVE-2021-2205评分为9.1，，，，，，，攻击者无需经由身份验证即可远程使用包括这2个误差在内的22个清静误差。。。。。。。。

与Oracle MySQL相关的补丁为49个，，，，，，，无需经由身份验证即可使用的误差为10个，，，，，，，其中CVE-2021-3449和CVE-2021-3450（均为MySQL Server中的OpenSSL问题）评分划分为7.5和7.4, CVE-2021-2307为MySQL for Windows中的权限提升误差，，，，，，，该误差需经由验证才华使用，，，，，，，其CVSS评分为6.1。。。。。。。。

0x02 处置惩罚建议

现在Oracle已经宣布相关清静补�。。。。。。。。�，，，，，，建议尽快应用。。。。。。。。

下载链接：

https://www.oracle.com/security-alerts/cpuapr2021.html

0x03 参考链接

https://www.oracle.com/security-alerts/cpuapr2021.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-2135

https://kb.cert.org/vuls/id/567764

0x04 时间线

2021-04-20 Oracle宣布清静更新

2021-04-21 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 万利国际官网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】