Oracle官方发布了2023年4月的关键安全补丁集合更新CPU(Critical Patch Update),修复了多个漏洞包括CVE-2023-21912、CVE-2023-21996、CVE-2023-21931、CVE-2023-21964、CVE-2023-21979、CVE-2023-21956、CVE-2023-21960等。其中Oracle MySQL Server拒绝服务漏洞(CVE-2023-21912)、Oracle WebLogic Server 拒绝服务漏洞(CVE-2023-21996、CVE-2023-21964)、Oracle WebLogic Server 敏感信息泄露漏洞(CVE-2023-21931、CVE-2023-21979)影响较为严重。请立即安装修复补丁。
漏洞信息
1. Oracle MySQL Server拒绝服务漏洞(CVE-2023-21912)
漏洞名称:Oracle MySQL Server 拒绝服务漏洞
漏洞类型:拒绝服务
漏洞描述:未经身份验证的远程攻击者可通过 MySQL 协议网络访问MySQL Server,成功利用此漏洞可导致目标 MySQL Server 挂起或频繁重复崩溃,造成拒绝服务攻击。
参考链接:https://www.oracle.com/security-alerts/cpuapr2023.html
2. Oracle WebLogic Server 拒绝服务漏洞(CVE-2023-21996)
漏洞名称:Oracle WebLogic Server 拒绝服务漏洞
漏洞类型:拒绝服务
漏洞描述:Oracle WebLogic Server 中存在拒绝服务漏洞。未经身份验证的远程攻击者通过HTTP进行网络访问,从而危害Oracle WebLogic Server。成功利用此漏洞会导致 Oracle WebLogic Server 挂起或频繁重复崩溃,造成拒绝服务攻击。
参考链接:https://www.oracle.com/security-alerts/cpuapr2023.html
3. Oracle WebLogic Server 拒绝服务漏洞(CVE-2023-21964)
漏洞名称:Oracle WebLogic Server 拒绝服务漏洞
漏洞类型:拒绝服务
漏洞描述:Oracle WebLogic Server 中存在拒绝服务漏洞。未经身份验证的远程攻击者通过 T3 进行网络访问,从而危害 Oracle WebLogic Server。成功利用此漏洞会导致 Oracle WebLogic Server 挂起或频繁重复崩溃,造成拒绝服务攻击。
参考链接:https://www.oracle.com/security-alerts/cpuapr2023.html
4. Oracle WebLogic Server 敏感信息泄露漏洞(CVE-2023-21931)
漏洞名称:Oracle WebLogic Server 敏感信息泄露漏洞
漏洞类型:信息泄露
漏洞描述:Oracle WebLogic Server中存在敏感信息泄露漏洞。未经身份验证的远程攻击者通过T3进行网络访问,从而危害Oracle WebLogic Server。此漏洞的成功攻击可能导致对关键数据的未经授权的访问或对所有Oracle WebLogic Server可访问数据的完全访问。
参考链接:https://www.oracle.com/security-alerts/cpuapr2023.html
5. Oracle WebLogic Server 敏感信息泄露漏洞(CVE-2023-21979)
漏洞名称:Oracle WebLogic Server 敏感信息泄露漏洞
漏洞类型:信息泄露
漏洞描述:Oracle WebLogic Server中存在敏感信息泄露漏洞。未经身份验证的远程攻击者通过T3进行网络访问,从而危害Oracle WebLogic Server。此漏洞的成功攻击可能导致对关键数据的未经授权的访问或对所有Oracle WebLogic Server可访问数据的完全访问。造成敏感信息泄露。
参考链接:https://www.oracle.com/security-alerts/cpuapr2023.html
影响范围
受影响版本:
CVE-2023-21912
Oracle MySQL Server 5.7.41 and prior
Oracle MySQL Server 8.0.30 and prior
CVE-2023-21996
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0
CVE-2023-21931
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0
CVE-2023-21964
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0
CVE-2023-21979
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0
CVE-2023-21956
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0
CVE-2023-21960
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
处置建议
请参考以下链接尽快修复:https://www.oracle.com/security-alerts/cpuapr2023.html