[好文分享:www.ii77.com]
[转载出处:www.ii77.com]
安全研究人员揭露甲骨文在今年1月及4月,所分别修补2项影响Fusion Middleware的重大漏洞细节,并指后者花了6个月才修复。
VNG公司的PeterJson和VNPT的Nguyen Jang去年10月发现Fusion Middleware 2项漏洞,分别为影响Oracle JDeveloper内ADF Faces framework的前远端程序码执行(pre-auth RCE)漏洞,以及影响Oracle Access Manager(OAM)的伺服器端请求伪造(Server Side Request Forgery,SSRF)漏洞。
研究人员当月已向甲骨文揭露2漏洞,但甲骨文今年才修补,因此漏洞皆列为2022年。SSRF漏洞命名为CVE-2022-21497,甲骨文今年1月先以第1季安全更新修补OAM中。而RCE漏洞则被命名CVE-2022-21445,但是要等到4月的第2季安全更新修补。距离当初通报已是6个月的事,也超出了一般标准的90天,他们认为这家软体巨人的动作太迟缓。
ADF Faces框架包括超过150个支援Ajax的JavaServer Faces(JSF)元件及开发框架,可用于在Fusion Middleware上开发应用程序。研究人员最初在测试攻击中证实Oracle BI(Oracle Business Intelligence)的前远端程序码执行(pre-auth RCE)漏洞,该漏洞可让未经授权的攻击者经由HTTP连线呼叫开采,最严重可接管JDeveloper。这项漏洞风险值达9.8。
但研究人员最后发现,该漏洞还影响多个甲骨文产品,包括Oracle Enterprise Manager、Identity Management、SOA Suite、WebCenter Portal、Application Testing Suite、Transportation Management。此外,而且任何以ADF Faces framework开发的网站也会受影响,包括许多甲骨文线上系统及Oracle Cloud Infrastructure。
Fusion Middleware的Oracle Access Manager(OAM)的伺服器端请求伪造(Server Side Request Forgery,SSRF)漏洞则是Jang找到。OAM是单一签入(SSO)元件。这漏洞可和CVE-2022-21497串联起来,在OAM达成远端程序码执行,让未经授权的攻击者可经由Oracle Web Services/OAM新增、删除或修改资料,风险值为8.1。研究人员强调这十分严重,因为VMWare、华为及高通都使用OAM的SSO,且甲骨文许多Oracle线上服务也使用OAM作为SSO。
ADF framework及OAM两漏洞皆影响Oracle Fusion Middleware 12.2.1.3.0 和12.2.1.4.0版。尽管研究人员批评甲骨文动作太慢,但甲骨文已释出更新版,研究人员也呼吁企业用户尽速安装最新版本。
CISA警告:黑客仍在利用 Log4Shell 漏洞立
2022.06.27
独家新闻!立陶宛对俄实施铁路货物禁令后遭到网络攻击
2022.06.24
注意!这56个漏洞已影响数千台关键基础设施环境中的工业设备
2022.06.23
注:本文由E安全编译报道,转载请联系授权并注明来源。
本文到此结束,希望对大家有所帮助。
工业革命4.0背景下,越来越多汽车制造企业意识到研发速度与成本控制的重要性,纷纷开始走上3D打印快速成型探索之路。其中,宝马、保时捷、奔驰、福特、本田、丰田以及特斯拉等汽
房产企业都在做半导体,是个好现象。全文5287字,阅读约需11分钟文|陈俊一编辑 | 常亮题图|Pixabay2022年第二季度即将结束,众多企业都在盘点第二季度乃至上半年的业绩表现。对于手
迎接时代挑战 抓住产业机遇——第十届半导体设备年会会前访谈东方晶源微电子科技(北京)有限公司成立于2014年,总部位于北京经济技术开发区,是一家专注于集成电路领域良率管理
Esther | 编辑随着纳入字节,Pico的全球化进程动作相当迅速。4月份我们报道了Pico消费级VR(海外发售为Pico Neo 3 Link,国内为Pico Neo 3 Pro)出海,首先进军欧
在近日华为伙伴暨开发者大会2022期间,商业市场被重点提及。华为轮值董事长胡厚崑在演讲中谈到,面向中小企业,要全面支持伙伴,共同发展商业市场。我们知道,华为是一家ICT产品
关于广电5G如何赢得用户,总结下来不外乎两点:一是低价,二是借助广电体系内容平台的优势吸引用户。广电5G宣布放号以来,广大用户还是很关注的。这不,6月17日早上中国广电一宣
社区是城市居民生活的载体,完善的软硬件环境是实现居民美好生活需要的必要条件和基本保障。党的十九届五中全会提出的2035年实现人民生活更美好的目标和相关战略部署,赋予了社
点击上方“中国医疗科技网”关注我们,随时掌握国内医疗政策、市场概况、企业动态等信息。BD医疗在同一天传出两个重磅消息。日前 ,BD医疗以15.25亿美元现金(约合人民币100亿)收
提到工作站,你的第一反应是什么?是搭配了专业图形显卡的PC产品?还是“微缩”型的服务器?或者具备三防功能的傻大黑粗电脑?很可惜,虽然市面上有很多人乐于将这类产品称作工
来源:最高人民法院(ID:ch_zgrmfy)明明只是进直播间看了眼带货,结果其他销售同类产品的商家却精准找上了门,此时请注意,你的信息可能已被非法爬取!近日,江苏省无锡市梁溪区
本文内容来自网友供稿,如有信息侵犯了您的权益,请联系反馈核实
Copyright 2024.爱妻自媒体,让大家了解更多图文资讯!