1.通告信息内容

2021年1月20日，安识高新科技A-Team精英团队检测到Oracle官方发布了很多安全更新，涉及到集团旗下商品（Database Server、Weblogic Server、Java SE、MySQL等）好几个漏洞。

本次修补的漏洞中包含 8 个和 Weblogic 有关的高风险漏洞（CVE-2019-17195、CVE-2021-1994、CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075、CVE-2019-10086、CVE-2021-2109）。对于此事，安识高新科技精英团队提议众多客户立即升级Weblogic Server的有关漏洞补丁下载。此外，请搞好财产自纠自查及其防止工作中，以防遭到黑客入侵。

2.漏洞简述

CVE-2019-17195：

v7.9以前的Connect2id Nimbus JOSE JWT在分析JWT时很有可能引起各种各样出现异常，这很有可能造成 应用软件奔溃（有可能数据泄露）或潜在性的身份认证绕开。

CVE-2019-10086：

在Apache Commons Beanutils 1.9.2中，加上了一个独特的BeanTransector类，它根据全部Java目标上能用的class属性浏览classloader。殊不知，并沒有默认设置地应用PropertyUtilsBean的这一特点。

CVE-2021-2109：

该漏洞取决于容许 *** 攻击能够根据操纵JndiBindingHandle实例化的值（objectIdentifier）来完成JNDI引入，导致远程连接命令实行。

CVE-2021-1994、CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075 的CVSS得分均为 9.8。运用难度系数低， *** 攻击可借此机会完成远程控制代码执行，在其中 CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075漏洞和 T3、IIOP 协议书相关（T3、IIOP 协议书用以在 WebLogic 和别的 Java 程序流程中间传送数据）。

3.漏洞伤害

*** 攻击可运用这种高风险漏洞绕开weblogic console身份认证，及其远程连接命令实行这些，进而获得 *** 服务器的操纵管理权限。造成 比较严重的安全风险。

4.危害版本号

漏洞危害的商品版本号包含：

Weblogic Server 10.3.6.0.0

Weblogic Server 12.1.3.0.0

Weblogic Server 12.2.1.3.0

Weblogic Server 12.2.1.4.0

Weblogic Server 14.1.1.0.0

5.解决 ***

升级全新补丁下载，参照Oracle官方网站公布的补丁下载

6.时间线

【-】2021年1月20日 Oracle官方发布安全性漏洞通告

【-】2021年1月20日 安识高新科技A-Team精英团队依据官方网站公示剖析

【-】2021年1月20日 安识高新科技A-Team精英团队公布安全性通告