漏洞概要
漏洞名称 | Oracle补丁日多个漏洞 |
发布时间 | 2024年4月18日 |
组件名称 | OracleWebLogicServer |
安全公告链接 | https://www.oracle.com/security-alerts/cpuapr2024.html |
官方解决方案 | 已发布 |
漏洞分析
组件介绍
WebLogic是美国Oracle公司出品的一个ApplicationServer,确切地说是一个基于JaveEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
WebLogic将Java的动态功能和JavaEnterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中,是商业市场上主要的Java(J2EE)应用服务器软件(ApplicationServer)之一,是世界上第一个成功商业化的J2EE应用服务器,具有可扩展性、快速开发、灵活、可靠性等优势。
漏洞简介
近日,深信服安全团队监测到一则OracleWebLogic官方发布安全补丁的通告,共修复了4个安全漏洞,其中包含2个高危漏洞的信息。
序号 | 漏洞名称 | 影响版本 | 严重等级 |
1 | OracleWebLogicServer信息泄露漏洞(CVE-2024-21006) | OracleWebLogicServer12.2.1.4.0 OracleWebLogicServer14.1.1.0.0 | 高危 |
2 | OracleWebLogicServer信息泄露漏洞(CVE-2024-21007) | OracleWebLogicServer12.2.1.4.0 OracleWebLogicServer14.1.1.0.0 | 高危 |
3 | OracleWebLogicServerXSS漏洞(CVE-2024-23635) | OracleWebLogicServer12.2.1.4.0 OracleWebLogicServer14.1.1.0.0 | 中危 |
4 | OracleWebLogicServer拒绝服务漏洞(CVE-2024-26308) | OracleWebLogicServer12.2.1.4.0 OracleWebLogicServer14.1.1.0.0 | 中危 |
2.3高危漏洞描述
1.OracleWebLogicServer信息泄露漏洞(CVE-2024-21006)
OracleWebLogicServer存在信息泄露漏洞,未经身份验证的攻击者可通过该漏洞获取敏感信息。
2.OracleWebLogicServer信息泄露漏洞(CVE-2024-21007)
OracleWebLogicServer存在信息泄露漏洞,未经身份验证的攻击者可通过该漏洞获取敏感信息。
影响范围
WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器,在全球范围内有广泛的使用。可能受漏洞影响的资产广泛分布于世界各地,广东、北京、上海等省市的受影响资产约占国内受影响资产的70%。今年曝出的漏洞涉及用户量多,导致漏洞影响力很大。
官方修复建议
当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。