BiznetBiznet

Oracle Enterprise Manager for Fusion Middleware, versions 13.4.0.0 Deserialization Güvenlik Açıkları

Yazar: Okan Coşkun

CVE: CVE-2021-2008
CVSS: 7.3CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Risk Seviyesi: ACİL
Ürün: Oracle Fusion Middleware
Etkilenen Sürümler: 13.4.0.0
Yama Tarihi: 20/04/2021
Raporlayan: Okan Coşkun

Problem Detayları:

Programlama dilleri verinin veya oluşturulan nesnelerin disk gibi bir ortama yazdırılması veya ağ üzerinden aktarılması için çeşitli yöntemler sunmaktadır. Verinin veya kullanılacak nesnenin yukarıda belirtilen amaçla değer ve tip bilgisi ile farklı bir formata (binary, json, xml vb) çevrilmesi, saklanacak veya transfer edilecek forma dönüştürülme işlemine serialization adı verilmektedir. Serialize edilmiş verinin tekrar orijinal haline çevrilmesi ve yorumlanması işlemine ise De-Serialization adı verilmektedir. Bu işlemler .NET üzerinde System.Runtime.Serialization, Java üzerinde ise Serializable gibi sınıflar kullanılarak yapılabilmektedir.

Eğer yazılım geliştiriciler kullanıcıdan serialize edilmiş verileri alarak De-Serialization işlemi gerçekleştirirse kod çalıştırma, önemli yapılandırma dosyalarına erişim, servis sonlandırma saldırıları düzenleme gibi problemlere neden olabilirler.

Çözüm/Öneri: İlgili sorun için ORACLE tarafından yayınlanmış, Nisan 2021 güncellemeleri içinde bulunan S1240852 yamaları kullanılabilir.

Referanslar:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-2008
https://www.oracle.com/security-alerts/cpuapr2021.html#AppendixEM

okan.coskun
Yazar: okan.coskun