甲骨文耗時6個月修補Fusion Middleware的重大漏洞

安全研究人員揭露甲骨文在今年1月及4月，所分別修補2項影響Fusion Middleware的重大漏洞細節，并指后者花了6個月才修復。

VNG公司的PeterJson和VNPT的Nguyen Jang去年10月發現Fusion Middleware 2項漏洞，分別為影響Oracle JDeveloper內ADF Faces framework的前遠端程序碼執行（pre-auth RCE）漏洞，以及影響Oracle Access Manager（OAM）的伺服器端請求偽造（Server Side Request Forgery，SSRF）漏洞。  

研究人員當月已向甲骨文揭露2漏洞，但甲骨文今年才修補，因此漏洞皆列為2022年。SSRF漏洞命名為CVE-2022-21497，甲骨文今年1月先以第1季安全更新修補OAM中。而RCE漏洞則被命名CVE-2022-21445，但是要等到4月的第2季安全更新修補。距離當初通報已是6個月的事，也超出了一般標準的90天，他們認為這家軟體巨人的動作太遲緩。  

ADF Faces框架包括超過150個支援Ajax的JavaServer Faces（JSF）元件及開發框架，可用于在Fusion Middleware上開發應用程序。研究人員最初在測試攻擊中證實Oracle BI（Oracle Business Intelligence）的前遠端程序碼執行（pre-auth RCE）漏洞，該漏洞可讓未經授權的攻擊者經由HTTP連線呼叫開采，最嚴重可接管JDeveloper。這項漏洞風險值達9.8。  

但研究人員最后發現，該漏洞還影響多個甲骨文產品，包括Oracle Enterprise Manager、Identity Management、SOA Suite、WebCenter Portal、Application Testing Suite、Transportation Management。此外，而且任何以ADF Faces framework開發的網站也會受影響，包括許多甲骨文線上系統及Oracle Cloud Infrastructure。  

Fusion Middleware的Oracle Access Manager（OAM）的伺服器端請求偽造（Server Side Request Forgery，SSRF）漏洞則是Jang找到。OAM是單一簽入（SSO）元件。這漏洞可和CVE-2022-21497串聯起來，在OAM達成遠端程序碼執行，讓未經授權的攻擊者可經由Oracle Web Services/OAM新增、刪除或修改資料，風險值為8.1。研究人員強調這十分嚴重，因為VMWare、華為及高通都使用OAM的SSO，且甲骨文許多Oracle線上服務也使用OAM作為SSO。  

ADF framework及OAM兩漏洞皆影響Oracle Fusion Middleware 12.2.1.3.0 和12.2.1.4.0版。盡管研究人員批評甲骨文動作太慢，但甲骨文已釋出更新版，研究人員也呼吁企業用戶盡速安裝最新版本。