圖片來源: 

甲骨文

兩名安全研究人員揭露甲骨文Fusion Middleware的2項重大漏洞,並指後者花了6個月才修復,動作太慢。

VNG公司的PeterJson和VNPT的Nguyen Jang去年10月發現Fusion Middleware 2項漏洞,分別為影響Oracle JDeveloper內ADF Faces framework的前遠端程式碼執行(pre-auth RCE)漏洞,以及影響Oracle Access Manager(OAM)的伺服器端請求偽造(Server Side Request Forgery,SSRF)漏洞。

研究人員當月已向甲骨文揭露2漏洞,但甲骨文今年才修補,因此漏洞皆列為2022年。SSRF漏洞命名為CVE-2022-21497,甲骨文今年1月先以第1季安全更新修補OAM中。而RCE漏洞則被命名CVE-2022-21445,但是要等到4月的第2季安全更新修補。距離當初通報已是6個月的事,也超出了一般標準的90天,他們認為這家軟體巨人的動作太遲緩。

ADF Faces框架包括超過150個支援Ajax的JavaServer Faces(JSF)元件及開發框架,可用於在Fusion Middleware上開發應用程式。研究人員最初在測試攻擊中證實Oracle BI(Oracle Business Intelligence)的前遠端程式碼執行(pre-auth RCE)漏洞,該漏洞可讓未經授權的攻擊者經由HTTP連線呼叫開採,最嚴重可接管JDeveloper。這項漏洞風險值達9.8。

但研究人員最後發現,該漏洞還影響多個甲骨文產品,包括Oracle Enterprise Manager、Identity Management、SOA Suite、WebCenter Portal、Application Testing Suite、Transportation Management。此外,而且任何以ADF Faces framework開發的網站也會受影響,這意謂包括許多甲骨文線上系統及Oracle Cloud Infrastructure。

Fusion Middleware的Oracle Access Manager(OAM)的伺服器端請求偽造(Server Side Request Forgery,SSRF)漏洞則是Jang找到。OAM是單一簽入(SSO)元件。這漏洞可和CVE-2022-21497串聯起來,在OAM達成遠端程式碼執行,讓未經授權的攻擊者可經由Oracle Web Services/OAM新增、刪除或修改資料,風險值為8.1。研究人員強調這十分嚴重,因為VMWare、華為及高通都使用OAM的SSO,且甲骨文許多Oracle線上服務也使用OAM作為SSO。

ADF framework及OAM兩漏洞皆影響Oracle Fusion Middleware 12.2.1.3.0 和12.2.1.4.0版。儘管研究人員批評甲骨文動作太慢,但甲骨文已釋出更新版,研究人員也呼籲企業用戶儘速安裝最新版本。

熱門新聞

Advertisement