可用-安全

甲骨文耗时 6 个月修补 Fusion Middleware 的重大漏洞

  • 浏览次数 43467
  • 喜欢 0
  • 评分 12345

安全研究人员揭露甲骨文在今年1月及4月,所分别修补2项影响Fusion Middleware的重大漏洞细节,并指后者花了6个月才修复。

VNG公司的PeterJson和VNPT的Nguyen Jang去年10月发现Fusion Middleware 2项漏洞,分别为影响Oracle JDeveloper内ADF Faces framework的前远端程序码执行(pre-auth RCE)漏洞,以及影响Oracle Access Manager(OAM)的伺服器端请求伪造(Server Side Request Forgery,SSRF)漏洞。

研究人员当月已向甲骨文揭露2漏洞,但甲骨文今年才修补,因此漏洞皆列为2022年。SSRF漏洞命名为CVE-2022-21497,甲骨文今年1月先以第1季安全更新修补OAM中。而RCE漏洞则被命名CVE-2022-21445,但是要等到4月的第2季安全更新修补。距离当初通报已是6个月的事,也超出了一般标准的90天,他们认为这家软体巨人的动作太迟缓。

ADF Faces框架包括超过150个支援Ajax的JavaServer Faces(JSF)元件及开发框架,可用于在Fusion Middleware上开发应用程序。研究人员最初在测试攻击中证实Oracle BI(Oracle Business Intelligence)的前远端程序码执行(pre-auth RCE)漏洞,该漏洞可让未经授权的攻击者经由HTTP连线呼叫开采,最严重可接管JDeveloper。这项漏洞风险值达9.8。

但研究人员最后发现,该漏洞还影响多个甲骨文产品,包括Oracle Enterprise Manager、Identity Management、SOA Suite、WebCenter Portal、Application Testing Suite、Transportation Management。此外,而且任何以ADF Faces framework开发的网站也会受影响,包括许多甲骨文线上系统及Oracle Cloud Infrastructure。

Fusion Middleware的Oracle Access Manager(OAM)的伺服器端请求伪造(Server Side Request Forgery,SSRF)漏洞则是Jang找到。OAM是单一签入(SSO)元件。这漏洞可和CVE-2022-21497串联起来,在OAM达成远端程序码执行,让未经授权的攻击者可经由Oracle Web Services/OAM新增、删除或修改资料,风险值为8.1。研究人员强调这十分严重,因为VMWare、华为及高通都使用OAM的SSO,且甲骨文许多Oracle线上服务也使用OAM作为SSO。

ADF framework及OAM两漏洞皆影响Oracle Fusion Middleware 12.2.1.3.0 和12.2.1.4.0版。尽管研究人员批评甲骨文动作太慢,但甲骨文已释出更新版,研究人员也呼吁企业用户尽速安装最新版本。

 


转自 E安全,原文链接:https://mp.weixin.qq.com/s/u78-LspaS2dhUTR-_eGaHg

封面来源于网络,如有侵权请联系删除