오라클, Weblogic 서버에 존재하는 치명적인 RCE 취약점 수정

 

 

Oracle fixes critical RCE vulnerabilities in Weblogic Server

 

오라클이 제품군 다수를 위한 새로운 보안 패치 342개가 포함된 2021년 7월 패치 업데이트를 발표했습니다.

 

패치된 취약점 중 일부는 공격자가 원격으로 기기를 제어하는데 악용될 수 있었습니다.

 

오라클이 패치한 가장 심각한 문제 중 하나는 Oracle WebLogic Server 웹 서비스의 XMLDecoder에 존재하는 치명적인 역직렬화 취약점입니다.

 

CVE-2019-2729 취약점은 인증되지 않은 공격자가 악용할 수 있는 원격 코드 실행 취약점입니다.

 

오라클은 권고를 발표해 아래와 같이 설명했습니다.

 

“이 보안 경고는 Oracle WebLogic Server 웹 서비스 내 XMLDecoder의 역직렬화 취약점인 CVE-2019-2729를 수정합니다. 이 원격 코드 실행 취약점은 인증 없이도 원격으로 악용이 가능합니다. 즉 사용자 계정 및 비밀번호가 없어도 네트워크를 통해 악용될 수 있습니다. 이 취약점의 심각도를 고려했을 때, 오라클은 고객이 이 보안 권고에서 제공하는 업데이트를 가능한 빨리 적용할 것을 권장합니다.”

 

이 취약점은 CVSS 점수 10점 만점에 9.8점을 기록했으며, Oracle Hyperion Infrastructure Technology에 존재하며 WebLogic Server 버전 11.1.2.4 및 11.2.5.0에 영향을 미칩니다.

 

이 회사는 WebLogic Server의 다른 취약점도 해결했으며, 이 중 3가지의 심각도가 ‘치명적’으로 분류되었습니다.

 

CVE-2021-2394 (CVSS 점수: 9.8)

CVE-2021-2397 (CVSS 점수: 9.8)

CVE-2021-2382 (CVSS 점수: 9.8)

CVE-2021-2378 (CVSS 점수: 7.5)

CVE-2021-2376 (CVSS 점수: 7.5)

CVE-2021-2403 (CVSS 점수: 5.3)

 

오라클은 고객에게 보안 업데이트를 즉시 설치할 것을 강력히 권고했습니다.

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/120439/security/oracle-weblogic-server-flaws.html

https://www.oracle.com/security-alerts/alert-cve-2019-2729.html