烽火狼烟丨Oracle多款产品高危漏洞风险提示

近日，WebRAY安全服务部监测到Oracle官网对旗下多款产品发布了共计419个安全补丁，包含Oracle Weblogic Server在内的多个无需身份验证即可远程利用的漏洞被公开，由于该类漏洞易于利用且影响范围较广，WebRAY安全服务部建议相关用户及时更新补丁。

Oracle（甲骨文公司）是1977年成立于美国加州的软件公司，如今，Oracle公司已经发展成为全球最大的企业软件供应商之一，可以为客户提供全面、开放、集成的技术和应用管理应用软件。WebLogic是美国Oracle公司出品的一款基于JAVAEE架构的中间件，是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

WebRAY安全服务部也将持续关注该漏洞进展，第一时间为您更新该漏洞信息。

01漏洞概述

部分漏洞简介

CVE-2021-35617：由于Oracle WebLogic Server组件存在的验证问题导致攻击者可对存在漏洞的组件进行远程攻击，成功利用该漏洞即可获取服务器权限。

CVE-2018-8088：漏洞存在于1.8.0-beta2 之前slf4j-ext模块的 org.slf4j.ext.EventData 类中，该漏洞允许远程攻击者通过精心设计的数据绕过预期的访问限制。

02影响范围

03漏洞等级

WebRAY安全服务部风险评级：高危

04修复建议

1、如果不依赖T3、IIOP协议进行JVM通信，可禁用T3、IIOP协议。

2、参考Oracle官网发布的补丁信息：

https://www.oracle.com/security-alerts/cpuoct2021.html