一、概述

2023年1月19日，绿盟科技CERT监测发现Oracle官方发布了1月重要补丁更新公告CPU（Critical Patch Update），此次共修复了327个不同程度的漏洞，此次安全更新涉及Oracle WebLogic Server、Oracle Fusion Middleware、Oracle MySQL、Oracle Java SE、Oracle Retail Applications、Oracle Database Server等多个常用产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序，对漏洞进行修复。

参考链接：

https://www.oracle.com/security-alerts/cpujan2023.html

二、重点漏洞概述

根据产品流行度和漏洞重要性筛选出此次更新中包含影响较大的漏洞，请相关用户重点进行关注：

Oracle WebLogic Server 远程代码执行漏洞（CVE-2023-21839）：

由于Weblogic IIOP/T3协议存在缺陷，未经身份验证的攻击者通过IIOP/T3协议向受影响的服务器发送恶意的请求，最终导致在目标服务器上访问敏感信息并执行任意代码，目前该漏洞技术细节已公开。

Oracle WebLogic Server 远程代码执行漏洞（CVE-2022-42920）：

由于Oracle WebLogic Server中引用了第三方软件“Apache Commons BCEL”，且其中有许多通常只允许更改特定类特征的 API，由于存在越界写入缺陷，未经身份验证的攻击者可利用多个API发送恶意数据进行攻击，最终可造成拒绝服务或任意代码执行。

Oracle Fusion Middleware多个漏洞：

此次安全更新针对Oracle MySQL发布了50个安全补丁, 其中的39个漏洞在未经用户身份验证的情况下即可远程进行利用，即无需用户凭据即可通过网络利用。严重漏洞编号如下：

CVE-2022-45047

CVE-2022-42889

CVE-2022-23305

CVE-2022-25236

CVE-2022-31813

CVE-2022-2274

CVE-2022-27404

Oracle MySQL多个漏洞：

此次安全更新针对Oracle MySQL发布了37个安全补丁, 其中的8个漏洞在未经用户身份验证的情况下即可远程进行利用，即无需用户凭据即可通过网络利用。高危漏洞编号如下：

CVE-2022-31692

CVE-2022-32221

CVE-2022-37434

CVE-2020-36242

CVE-2022-24407

Oracle Financial Services Applications多个漏洞：

此次安全更新针对Oracle Financial Services Applications发布了16个安全补丁。其中的12个漏洞在未经用户身份验证的情况下即可远程进行利用。高危漏洞编号如下：

CVE-2022-33980

Oracle Communications Applications多个漏洞：

此次安全更新针对Oracle Communications发布了39个安全补丁，其中的31个漏洞在未经用户身份验证的情况下即可远程进行利用。高危漏洞编号如下：

CVE-2022-42889

CVE-2022-33980

CVE-2022-22978

CVE-2022-37454

CVE-2022-31692

Oracle E-Business Suite多个漏洞：

此次安全更新针对Oracle E-Business Suite发布了12个安全补丁，其中的10个漏洞在未经用户身份验证的情况下即可远程进行利用。攻击者可以通过HTTP访问网络，从而破坏套件中的产品，从而对关键数据的未授权访问或对所有套件中产品可访问数据的完全访问。高危漏洞编号如下：

CVE-2023-21849

CVE-2023-21858

CVE-2023-21857

CVE-2023-21856

CVE-2023-21852

CVE-2023-21851

CVE-2023-21853

CVE-2023-21855

CVE-2023-21854

Oracle官方1月关键补丁更新漏洞总结如下：

三、漏洞防护

• 补丁更新

请用户参考本文附录“受影响产品及补丁信息”及时下载受影响产品更新补丁，并参照补丁安装包中的readme文件进行安装更新，以保证长期有效的防护。

注：Oracle官方补丁需要用户持有正版软件的许可账号，使用该账号登陆https://support.oracle.com后，可以下载最新补丁。

• Weblogic临时防护措施

3.2.1 限制T3协议访问

若相关用户暂时无法安装补丁或不通过T3协议进行JVM通信，可使用下列措施阻断针对利用T3协议漏洞的攻击：

WebLogic Server提供了名为 weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器，此连接筛选器接受所有传入连接，可通过此连接筛选器配置规则，对T3及T3s协议进行访问控制，详细操作步骤如下：

1. 进入WebLogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。

2. 在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，参考以下写法，在连接筛选器规则中配置符合企业实际情况的规则：

3. 保存后若规则未生效，建议重新启动WebLogic服务（重启WebLogic服务会导致业务中断，建议相关人员评估风险后，再进行操作）。以Windows环境为例，重启服务的步骤如下：

进入域所在目录下的bin目录，在Windows系统中运行stopWebLogic.cmd文件终止WebLogic服务，Linux系统中则运行stopWebLogic.sh文件。

待终止脚本执行完成后，再运行startWebLogic.cmd或startWebLogic.sh文件启动WebLogic，即可完成WebLogic服务重启。

3.2.2 关闭IIOP协议

用户可通过关闭IIOP协议阻断针对利用IIOP协议漏洞的攻击，操作如下：

在WebLogic控制台中，选择“服务”->“AdminServer”->“协议”，取消“启用IIOP”的勾选。并重启WebLogic项目，使配置生效。

附录 受影响产品及补丁信息

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。