服务热线: 0371-65995777

【安全通告】Oracle 重要安全补丁更新公告(2020年1月)

文章来源 : 昊之云      发布时间 : 2020/1/16

尊敬的大数据云客户, 您好:       

近日,大数据云技术监测到 Oracle 发布了2020年1月安全补丁更新公告,一共涉及旗下各产品线的 334 个安全漏洞,攻击者可利用漏洞进行本地权限提升、远程代码执行等攻击。       为避免您的业务受影响,大数据云技术建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
 

【漏洞详情】

经分析, 此次重要补丁更新披露了 Weblogic 组件存在的两个严重安全漏洞(CVE-2020-2551、CVE-2020-2546),CVSS评分高达 9.8 分,攻击者可利用该漏洞进行远程代码执行攻击。 详情描述如下:

CVE编号

影响产品

组件名

影响协议

是否无需认证远程可直接利用?

CVSS评分

受影响版本

CVE-2020-2551

WebLogic Server

WLS Core Components

IIOP

9.8

10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0

CVE-2020-2546

WebLogic Server

Application Container - JavaEE

T3

9.8

10.3.6.0.0, 12.1.3.0.0

【风险等级】  

高风险 


【漏洞风险】  

远程代码执行等影响 


【影响版本】  

此次影响较大的组件为:  

Oracle WebLogic Server 10.3.6.0.0  

Oracle WebLogic Server 12.1.3.0.0  

Oracle WebLogic Server 12.2.1.3.0  

Oracle WebLogic Server 12.2.1.4.0

【修复建议】  

目前 Oracle官方已经发布补丁更新,建议您及时应用相关补丁更新。  

由于Oracle产品更新策略,Oracle官方补丁需要用户持有正版软件的许可账号进行下载安装,建议您持账号登陆 https://support.oracle.com 下载最新补丁。

临时缓解方案:  

CVE-2020-2546:  

如果不依赖T3协议进行JVM通信,禁用T3协议。操作如下:

1. 进入WebLogic控制台,在 base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器;  

2. 在连接筛选器中输入: weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入: 127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(T3 和 T3S 协议的所有端口只允许本地访问);  

3. 保存生效(需重启)  

CVE-2020-2551:  

可通过关闭IIOP协议对此漏洞进行缓解。操作如下:  

1. 在 WebLogic 控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用 IIOP”的勾选。  

2. 重启 WebLogic 项目,使配置生效。

【漏洞参考】  

1)官方更新通告:https://www.oracle.com/security-alerts/cpujan2020.html

上一条:【安全通告】微软“补丁日”安全更新公告(2020年1月) 下一条:大数据云关于2020年春节假期安排的通知