2020年1月15日����,Oracle官方發(fā)布2020年1月關(guān)鍵補(bǔ)丁更新公告CPU(Critical Patch Update)��,其中CVE-2020-2551和CVE-2020-2546涉及WebLogic Server核心組件�����,影響面較大�����。這兩個(gè)漏洞均在WebLogic Server默認(rèn)配置下即可觸發(fā)�����,無需管理員身份認(rèn)證及額外交互����,攻擊者即可通過遠(yuǎn)程執(zhí)行命令接管服務(wù)器,讀取敏感信息等�����。針對(duì)CVE-2020-2551�,Oracle官方目前只發(fā)布了部分版本的補(bǔ)丁,對(duì)于CVE-2020-2546尚未有官方補(bǔ)丁�����。請(qǐng)各部門引起重視�����,注意防范�����。如使用了Oracle WebLogic 組件���,需要及時(shí)應(yīng)對(duì)處置�����,及時(shí)下載官方補(bǔ)丁程序并安裝更新�����。在補(bǔ)丁未發(fā)布期間�,要盡快采取緩解措施以免造成網(wǎng)絡(luò)安全事件。
一���、漏洞影響范圍
CVE-2020-2551影響版本:
-Oracle WebLogic Server 10.3.6.0.0(目前無官方補(bǔ)?��。?/span>
-Oracle WebLogic Server 12.1.3.0.0(目前無官方補(bǔ)丁)
-Oracle WebLogic Server 12.2.1.3.0(已發(fā)布官方補(bǔ)?。?/span>
-Oracle WebLogic Server 12.2.1.4.0(已發(fā)布官方補(bǔ)丁)
CVE-2020-2546影響版本:
-OracleWebLogicServer 10.3.6.0.0(目前無官方補(bǔ)?���。?/span>
-OracleWebLogicServer 12.1.3.0.0(目前無官方補(bǔ)?�。?/span>
二�、漏洞觸發(fā)條件
CVE-2020-2551
-WebLogic默認(rèn)啟用IIOP協(xié)議
-漏洞觸發(fā)無需身份認(rèn)證
CVE-2020-2546
-WebLogic默認(rèn)啟用T3協(xié)議
-漏洞觸發(fā)無需身份認(rèn)證
三���、緩解措施
1.針對(duì)CVE-2020-2551,用戶可通過關(guān)閉 IIOP 協(xié)議對(duì)此漏洞進(jìn)行緩解����。操作如下:進(jìn)入WebLogic控制臺(tái),選擇“服務(wù)”->”AdminServer”->”協(xié)議”���,取消“啟用IIOP”的勾選���,并重啟 Weblogic 項(xiàng)目,使配置生效�����。
2.針對(duì)CVE-2020-2546�,用戶可通過臨時(shí)禁用T3協(xié)議連接對(duì)此漏洞進(jìn)行緩解。操作如下:進(jìn)入WebLogic控制臺(tái)���,在base_domain配置頁面中����,進(jìn)入“安全選項(xiàng)卡”->“篩選器”->“配置篩選器”����。在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl�����,在連接篩選器規(guī)則框中輸入 “7001 deny t3 t3s” 并重啟 Weblogic 項(xiàng)目���,使配置生效。
官方公告鏈接:https://www.oracle.com/security-alerts/cpujan2020.html
