甲骨文耗时6个月修补Fusion Middleware的重大漏洞

安全研究人员揭露甲骨文在今年1月及4月，所分别修补2项影响Fusion Middleware的重大漏洞细节，并指后者花了6个月才修复。

VNG公司的PeterJson和VNPT的Nguyen Jang去年10月发现Fusion Middleware 2项漏洞，分别为影响Oracle JDeveloper内ADF Faces framework的前远端程序码执行（pre-auth RCE）漏洞，以及影响Oracle Access Manager（OAM）的伺服器端请求伪造（Server Side Request Forgery，SSRF）漏洞。

研究人员当月已向甲骨文揭露2漏洞，但甲骨文今年才修补，因此漏洞皆列为2022年。SSRF漏洞命名为CVE-2022-21497，甲骨文今年1月先以第1季安全更新修补OAM中。而RCE漏洞则被命名CVE-2022-21445，但是要等到4月的第2季安全更新修补。距离当初通报已是6个月的事，也超出了一般标准的90天，他们认为这家软体巨人的动作太迟缓。

ADF Faces框架包括超过150个支援Ajax的JavaServer Faces（JSF）元件及开发框架，可用于在Fusion Middleware上开发应用程序。研究人员最初在测试攻击中证实Oracle BI（Oracle Business Intelligence）的前远端程序码执行（pre-auth RCE）漏洞，该漏洞可让未经授权的攻击者经由HTTP连线呼叫开采，最严重可接管JDeveloper。这项漏洞风险值达9.8。

但研究人员最后发现，该漏洞还影响多个甲骨文产品，包括Oracle Enterprise Manager、Identity Management、SOA Suite、WebCenter Portal、Application Testing Suite、Transportation Management。此外，而且任何以ADF Faces framework开发的网站也会受影响，包括许多甲骨文线上系统及Oracle Cloud Infrastructure。

Fusion Middleware的Oracle Access Manager（OAM）的伺服器端请求伪造（Server Side Request Forgery，SSRF）漏洞则是Jang找到。OAM是单一签入（SSO）元件。这漏洞可和CVE-2022-21497串联起来，在OAM达成远端程序码执行，让未经授权的攻击者可经由Oracle Web Services/OAM新增、删除或修改资料，风险值为8.1。研究人员强调这十分严重，因为VMWare、华为及高通都使用OAM的SSO，且甲骨文许多Oracle线上服务也使用OAM作为SSO。

ADF framework及OAM两漏洞皆影响Oracle Fusion Middleware 12.2.1.3.0 和12.2.1.4.0版。尽管研究人员批评甲骨文动作太慢，但甲骨文已释出更新版，研究人员也呼吁企业用户尽速安装最新版本。