1.通告信息内容

2021年1月20日，安识高新科技A-Team精英团队检测到Oracle官方发布了很多安全更新，涉及到集团旗下商品（Database Server、Weblogic Server、Java SE、MySQL等）好几个漏洞。

本次修补的漏洞中包含 8 个和 Weblogic 有关的高风险漏洞（CVE-2019-17195、CVE-2021-1994、CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075、CVE-2019-10086、CVE-2021-2109）。对于此事，安识高新科技精英团队提议众多客户立即升级Weblogic Server的有关漏洞补丁下载。此外，请搞好财产自纠自查及其防止工作中，以防遭到黑客入侵。

2.漏洞简述

CVE-2019-17195：

v7.9以前的Connect2id Nimbus JOSE JWT在分析JWT时很有可能引起各种各样出现异常，这很有可能造成 应用软件奔溃（有可能数据泄露）或潜在性的身份认证绕开。

CVE-2019-10086：

在Apache Commons Beanutils 1.9.2中，加上了一个独特的BeanTransector类，它根据全部Java目标上能用的class属性浏览classloader。殊不知，并沒有默认设置地应用PropertyUtilsBean的这一特点。

CVE-2021-2109：

该漏洞取决于容许网络攻击能够根据操纵JndiBindingHandle实例化的值（objectIdentifier）来完成JNDI引入，导致远程连接命令实行。

CVE-2021-1994、CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075 的CVSS得分均为 9.8。运用难度系数低，网络攻击可借此机会完成远程控制代码执行，在其中 CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075漏洞和 T3、IIOP 协议书相关（T3、IIOP 协议书用以在 WebLogic 和别的 Java 程序流程中间传送数据）。

3.漏洞伤害

网络攻击可运用这种高风险漏洞绕开weblogic console身份认证，及其远程连接命令实行这些，进而获得网络服务器的操纵管理权限。造成 比较严重的安全风险。

4.危害版本号

漏洞危害的商品版本号包含：

Weblogic Server 10.3.6.0.0

Weblogic Server 12.1.3.0.0

Weblogic Server 12.2.1.3.0

Weblogic Server 12.2.1.4.0

Weblogic Server 14.1.1.0.0

5.解决方法

升级全新补丁下载，参照Oracle官方网站公布的补丁下载

6.时间线

【-】2021年1月20日 Oracle官方发布安全性漏洞通告

【-】2021年1月20日 安识高新科技A-Team精英团队依据官方网站公示剖析

【-】2021年1月20日 安识高新科技A-Team精英团队公布安全性通告