甲骨文花了6個月修補Fusion Middleware的重大漏洞

甲骨文Fusion Middleware的2項重大漏洞,並指後者花了6個月才修復,動作太慢。

VNG公司的PeterJson和VNPT的Nguyen Jang去年10月發現Fusion Middleware 2項漏洞,分別為影響Oracle JDeveloper內ADF Faces framework的前遠端程式碼執行(pre-auth RCE)漏洞,以及影響Oracle Access Manager(OAM)的伺服器端請求偽造(Server Side Request Forgery,SSRF)漏洞。

研究人員當月已向甲骨文揭露2漏洞,但甲骨文今年才修補,因此漏洞皆列為2022年。SSRF漏洞命名為CVE-2022-21497,。而RCE漏洞則被命名CVE-2022-21445,但是要等到。距離當初通報已是6個月的事,也超出了一般標準的90天,他們認為這家軟體巨人的動作太遲緩。

ADF Faces框架包括超過150個支援Ajax的JavaServer Faces(JSF)元件及開發框架,可用於在Fusion Middleware上開發應用程式。研究人員最初在測試攻擊中證實Oracle BI(Oracle Business Intelligence)的前遠端程式碼執行(pre-auth RCE)漏洞,該漏洞可讓未經授權的攻擊者經由HTTP連線呼叫開採,最嚴重可接管JDeveloper。這項漏洞風險值達9.8。

網頁設計公司推薦不同的風格,搶佔消費者視覺第一線

透過選單樣式的調整、圖片的縮放比例、文字的放大及段落的排版對應來給使用者最佳的瀏覽體驗,所以不用擔心有手機版網站兩個後台的問題,而視覺效果也是透過我們前端設計師優秀的空間比例設計,不會因為畫面變大變小而影響到整體視覺的美感。

想知道最厲害的網頁設計公司嚨底家!

RWD(響應式網頁設計)是透過瀏覽器的解析度來判斷要給使用者看到的樣貌

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!

以設計的實用美學觀點,規劃出舒適、美觀的視覺畫面,有效提昇使用者的心理期待,營造出輕鬆、愉悅的網站瀏覽體驗。

但研究人員最後發現,該漏洞還影響多個甲骨文產品,包括Oracle Enterprise Manager、Identity Management、SOA Suite、WebCenter Portal、Application Testing Suite、Transportation Management。此外,而且任何以ADF Faces framework開發的網站也會受影響,這意謂包括許多甲骨文線上系統及Oracle Cloud Infrastructure。

。OAM是單一簽入(SSO)元件。這漏洞可和CVE-2022-21497串聯起來,在OAM達成遠端程式碼執行,讓未經授權的攻擊者可經由Oracle Web Services/OAM新增、刪除或修改資料,風險值為8.1。研究人員強調這十分嚴重,因為VMWare、華為及高通都使用OAM的SSO,且甲骨文許多Oracle線上服務也使用OAM作為SSO。

ADF framework及OAM兩漏洞皆影響Oracle Fusion Middleware 12.2.1.3.0 和12.2.1.4.0版。儘管研究人員批評甲骨文動作太慢,但甲骨文已釋出更新版,研究人員也呼籲企業用戶儘速安裝最新版本。

來源鏈接:https://www.ithome.com.tw/news/151622

最熱情、專業有口碑的網頁設計公司讓您的網站改頭換面。

推薦評價好的iphone維修中心

擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

最熱情、專業有口碑的網頁設計公司讓您的網站改頭換面。