【安全通告】Oracle 重要安全补丁更新公告(2020年1月)

尊敬的标准互联用户,您好!

近日,标准互联监测到Oracle 发布了2020年1月安全补丁更新公告,一共涉及旗下各产品线的 334 个安全漏洞,攻击者可利用漏洞进行本地权限提升、远程代码执行等攻击。

为避免您的业务受影响,标准互联建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

经分析, 此次重要补丁更新披露了 Weblogic 组件存在的两个严重安全漏洞(CVE-2020-2551、CVE-2020-2546),CVSS评分高达 9.8 分,攻击者可利用该漏洞进行远程代码执行攻击。 详情描述如下:

CVE编号 影响产品 组件名 影响协议 是否无需认证远程可直接利用? CVSS评分 受影响版本
CVE-2020-2551 WebLogic Server WLS Core Components IIOP 9.8 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0
CVE-2020-2546 WebLogic Server Application Container - JavaEE T3 9.8 10.3.6.0.0, 12.1.3.0.0

风险等级

高风险

漏洞风险

远程代码执行等影响

影响版本

此次影响较大的组件为:

Oracle WebLogic Server 10.3.6.0.0

Oracle WebLogic Server 12.1.3.0.0

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

修复建议

目前 Oracle官方已经发布补丁更新,建议您及时应用相关补丁更新。

由于Oracle产品更新策略,Oracle官方补丁需要用户持有正版软件的许可账号进行下载安装,建议您持账号登陆support.oracle.com下载最新补丁。

临时缓解方案

CVE-2020-2546

如果不依赖T3协议进行JVM通信,禁用T3协议。操作如下:

1、进入WebLogic控制台,在 base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器;

2、在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入: 127.0.0.1 allow t3 t3s,0.0.0.0/0 deny t3 t3s(T3 和 T3S 协议的所有端口只允许本地访问);

3、保存生效(需重启)。

CVE-2020-2551

可通过关闭IIOP协议对此漏洞进行缓解。操作如下:

1、在 WebLogic 控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用 IIOP”的勾选。

2、重启 WebLogic 项目,使配置生效。

漏洞参考

1)官方更新通告:www.oracle.com/security-alerts/cpujan2020.html

2020年01月15日
本博客所有文章如无特别注明均为原创。作者:标准互联复制或转载请以超链接形式注明转自 标准互联VPS粉丝站
原文地址《【安全通告】Oracle 重要安全补丁更新公告(2020年1月)

相关推荐

发表评论

路人甲 表情
看不清楚?点图切换 Ctrl+Enter快速提交

网友评论(0)