甲骨文花了6个月修补Fusion Middleware的重大漏洞

两名安全研究人员披露甲骨文Fusion Middleware的2项重大漏洞，并指后者花了6个月才修复，动作太慢。

VNG公司的PeterJson和VNPT的Nguyen Jang去年10月发现Fusion Middleware 2项漏洞，分别为影响Oracle JDeveloper内ADF Faces framework的前远程程序代码执行（pre-auth RCE）漏洞，以及影响Oracle Access Manager（OAM）的服务器端请求伪造（Server Side Request Forgery，SSRF）漏洞。

研究人员当月已向甲骨文披露2漏洞，但甲骨文今年才修补，因此漏洞皆列为2022年。SSRF漏洞命名为CVE-2022-21497，甲骨文今年1月先以第1季安全更新修补OAM中。而RCE漏洞则被命名CVE-2022-21445，但是要等到4月的第2季安全更新修补。距离当初通报已是6个月的事，也超出了一般标准的90天，他们认为这家软件巨人的动作太迟缓。

ADF Faces框架包括超过150个支持Ajax的JavaServer Faces（JSF）组件及开发框架，可用于在Fusion Middleware上开发应用程序。研究人员最初在测试攻击中证实Oracle BI（Oracle Business Intelligence）的前远程程序代码执行（pre-auth RCE）漏洞，该漏洞可让未经授权的攻击者经由HTTP连接调用开采，最严重可接管JDeveloper。这项漏洞风险值达9.8。

但研究人员最后发现，该漏洞还影响多个甲骨文产品，包括Oracle Enterprise Manager、Identity Management、SOA Suite、WebCenter Portal、Application Testing Suite、Transportation Management。此外，而且任何以ADF Faces framework开发的网站也会受影响，这意味包括许多甲骨文线上系统及Oracle Cloud Infrastructure。

Fusion Middleware的Oracle Access Manager（OAM）的服务器端请求伪造（Server Side Request Forgery，SSRF）漏洞则是Jang找到。OAM是单一签入（SSO）组件。这漏洞可和CVE-2022-21497串联起来，在OAM完成远程程序代码执行，让未经授权的攻击者可经由Oracle Web Services/OAM添加、删除或修改资料，风险值为8.1。研究人员强调这十分严重，因为VMWare及高通都使用OAM的SSO，且甲骨文许多Oracle线上服务也使用OAM作为SSO。

ADF framework及OAM两漏洞皆影响Oracle Fusion Middleware 12.2.1.3.0和12.2.1.4.0版。尽管研究人员批评甲骨文动作太慢，但甲骨文已发布更新版，研究人员也呼吁企业用户尽快安装最新版本。