兩名安全研究人員披露甲骨文Fusion Middleware的2項重大漏洞���,并指后者花了6個月才修復(fù)�,動作太慢。
兩名安全研究人員披露甲骨文Fusion Middleware的2項重大漏洞��,并指后者花了6個月才修復(fù)��,動作太慢��。
VNG公司的PeterJson和VNPT的Nguyen Jang去年10月發(fā)現(xiàn)Fusion Middleware 2項漏洞��,分別為影響Oracle JDeveloper內(nèi)ADF Faces framework的前遠程程序代碼執(zhí)行(pre-auth RCE)漏洞�,以及影響Oracle Access Manager(OAM)的服務(wù)器端請求偽造(Server Side Request Forgery,SSRF)漏洞���。
研究人員當(dāng)月已向甲骨文披露2漏洞�,但甲骨文今年才修補�����,因此漏洞皆列為2022年。SSRF漏洞命名為CVE-2022-21497�,甲骨文今年1月先以第1季安全更新修補OAM中。而RCE漏洞則被命名CVE-2022-21445�����,但是要等到4月的第2季安全更新修補���。距離當(dāng)初通報已是6個月的事��,也超出了一般標(biāo)準(zhǔn)的90天�,他們認為這家軟件巨人的動作太遲緩���。
ADF Faces框架包括超過150個支持Ajax的JavaServer Faces(JSF)組件及開發(fā)框架,可用于在Fusion Middleware上開發(fā)應(yīng)用程序���。研究人員最初在測試攻擊中證實Oracle BI(Oracle Business Intelligence)的前遠程程序代碼執(zhí)行(pre-auth RCE)漏洞���,該漏洞可讓未經(jīng)授權(quán)的攻擊者經(jīng)由HTTP連接調(diào)用開采,最嚴重可接管JDeveloper�。這項漏洞風(fēng)險值達9.8。
但研究人員最后發(fā)現(xiàn)�,該漏洞還影響多個甲骨文產(chǎn)品��,包括Oracle Enterprise Manager�、Identity Management�、SOA Suite、WebCenter Portal���、Application Testing Suite�、Transportation Management���。此外���,而且任何以ADF Faces framework開發(fā)的網(wǎng)站也會受影響,這意味包括許多甲骨文線上系統(tǒng)及Oracle Cloud Infrastructure�����。
Fusion Middleware的Oracle Access Manager(OAM)的服務(wù)器端請求偽造(Server Side Request Forgery�,SSRF)漏洞則是Jang找到。OAM是單一簽入(SSO)組件。這漏洞可和CVE-2022-21497串聯(lián)起來,在OAM完成遠程程序代碼執(zhí)行���,讓未經(jīng)授權(quán)的攻擊者可經(jīng)由Oracle Web Services/OAM添加��、刪除或修改資料�,風(fēng)險值為8.1�����。研究人員強調(diào)這十分嚴重���,因為VMWare及高通都使用OAM的SSO�,且甲骨文許多Oracle線上服務(wù)也使用OAM作為SSO�����。
ADF framework及OAM兩漏洞皆影響Oracle Fusion Middleware 12.2.1.3.0和12.2.1.4.0版��。盡管研究人員批評甲骨文動作太慢���,但甲骨文已發(fā)布更新版�,研究人員也呼吁企業(yè)用戶盡快安裝最新版本���。
閩公網(wǎng)安備 35010202001226號
