兩名安全研究人員披露甲骨文Fusion Middleware的2項(xiàng)重大漏洞�����,并指后者花了6個(gè)月才修復(fù)����,動(dòng)作太慢����。
兩名安全研究人員披露甲骨文Fusion Middleware的2項(xiàng)重大漏洞���,并指后者花了6個(gè)月才修復(fù)��,動(dòng)作太慢���。
VNG公司的PeterJson和VNPT的Nguyen Jang去年10月發(fā)現(xiàn)Fusion Middleware 2項(xiàng)漏洞,分別為影響Oracle JDeveloper內(nèi)ADF Faces framework的前遠(yuǎn)程程序代碼執(zhí)行(pre-auth RCE)漏洞�,以及影響Oracle Access Manager(OAM)的服務(wù)器端請(qǐng)求偽造(Server Side Request Forgery,SSRF)漏洞����。
研究人員當(dāng)月已向甲骨文披露2漏洞,但甲骨文今年才修補(bǔ)��,因此漏洞皆列為2022年���。SSRF漏洞命名為CVE-2022-21497�,甲骨文今年1月先以第1季安全更新修補(bǔ)OAM中�。而RCE漏洞則被命名CVE-2022-21445���,但是要等到4月的第2季安全更新修補(bǔ)。距離當(dāng)初通報(bào)已是6個(gè)月的事���,也超出了一般標(biāo)準(zhǔn)的90天����,他們認(rèn)為這家軟件巨人的動(dòng)作太遲緩�����。
ADF Faces框架包括超過150個(gè)支持Ajax的JavaServer Faces(JSF)組件及開發(fā)框架�,可用于在Fusion Middleware上開發(fā)應(yīng)用程序。研究人員最初在測(cè)試攻擊中證實(shí)Oracle BI(Oracle Business Intelligence)的前遠(yuǎn)程程序代碼執(zhí)行(pre-auth RCE)漏洞�,該漏洞可讓未經(jīng)授權(quán)的攻擊者經(jīng)由HTTP連接調(diào)用開采���,最嚴(yán)重可接管JDeveloper�。這項(xiàng)漏洞風(fēng)險(xiǎn)值達(dá)9.8�。
但研究人員最后發(fā)現(xiàn),該漏洞還影響多個(gè)甲骨文產(chǎn)品��,包括Oracle Enterprise Manager�����、Identity Management、SOA Suite��、WebCenter Portal���、Application Testing Suite����、Transportation Management�����。此外�,而且任何以ADF Faces framework開發(fā)的網(wǎng)站也會(huì)受影響,這意味包括許多甲骨文線上系統(tǒng)及Oracle Cloud Infrastructure����。
Fusion Middleware的Oracle Access Manager(OAM)的服務(wù)器端請(qǐng)求偽造(Server Side Request Forgery,SSRF)漏洞則是Jang找到����。OAM是單一簽入(SSO)組件。這漏洞可和CVE-2022-21497串聯(lián)起來,在OAM完成遠(yuǎn)程程序代碼執(zhí)行�,讓未經(jīng)授權(quán)的攻擊者可經(jīng)由Oracle Web Services/OAM添加、刪除或修改資料���,風(fēng)險(xiǎn)值為8.1�。研究人員強(qiáng)調(diào)這十分嚴(yán)重�,因?yàn)閂MWare及高通都使用OAM的SSO,且甲骨文許多Oracle線上服務(wù)也使用OAM作為SSO��。
ADF framework及OAM兩漏洞皆影響Oracle Fusion Middleware 12.2.1.3.0和12.2.1.4.0版����。盡管研究人員批評(píng)甲骨文動(dòng)作太慢,但甲骨文已發(fā)布更新版�����,研究人員也呼吁企業(yè)用戶盡快安裝最新版本�����。
閩公網(wǎng)安備 35010202001226號(hào)
