两位安全研究人员披露了甲骨文中融合中间件的两大漏洞,并指出后者需要6个月才能修复,太慢了。
VNG公司的PeterJson和VNPT的Nguyen Jang在去年10月发现了融合中间件的两个漏洞,分别是Oracle JDeveloper中影响ADF Faces框架的预授权RCE漏洞。以及影响Oracle Access Manager(OAM)的服务器端请求伪造(SSRF)漏洞。
研究人员在同一个月内披露了甲骨文的2个漏洞,但甲骨文今年才修补了它们,所以所有漏洞都列为2022年。SSRF漏洞被命名为CVE-2022-21497,甲骨文在今年1月的第一次安全更新中首次修补了OAM。RCE漏洞被命名为CVE-2022-21445,但它必须等到4月份的第二季度安全更新。公布至今已有半年,超出一般标准90天。他们认为软件巨头太慢了。
ADF Faces framework包括150多个支持Ajax的JavaSe甲骨文是什么朝代的rver Faces(JSF)组件和开发框架,可用于在融合中间件上开发应用程序。研究人员最初在一次测试攻击中确认了Oracle BI(Oracle Business Intelligence)的预授权RCE漏甲骨文的拼音洞。未经授权的攻击者可以通过HTTP连接调用来利用此漏洞,在最坏的情况下,它可以接管JDeveloper。此漏洞的风险值为9.8。
然而,最后研究人员发现,该漏洞还影响了几个甲骨文产品,包括甲骨文企业管理器、身份管理、SOA套件、WebCenter门户、应用测试套件和运输管理。此外,任何使用ADF Faces框架开发的网站也会受到影响,这意味着甲骨文和甲骨文云基础设施中的许多在线系统。
Jang在融合中间件的Oracle Access Manager(OAM)中发现了服务器端请求伪造(SSRF)漏洞。OAM是一个单点登录(SSO)组件。该漏洞可与CVE-2022-21497串联,远程程序代码可在OAM中执行,未经授权的攻击者可通过Oracle Web Services/OAM添加、删除或修改数据,风险值为8.1。研究人员强调,这是非常严重的,因为VMWare和高通都使用O甲骨文是什么朝代的AM SSO,甲骨文中的许多Oracle online服务也使用OAM作为SSO。
ADF和O甲骨文的来历AM漏洞都会影响Oracle融合中间件版本12甲骨文字.2.1.3.0和12.2.1.4.0。虽然研究人员批评甲骨文速度太慢,但甲骨文已经发布了更新版本,研究人员还呼吁企业用户尽快安装最新版本。