【安全通告】Oracle 重要安全补丁更新公告(2020年1月)
摘要:
尊敬的腾讯云客户, 您好: 近日,腾讯云安全中心监测到 Oracle 发布了2020年1月安全补丁更新公告,一共涉及旗下各产品线的 334 个安全漏洞,攻击者可利用漏洞进行本地权限提升、远程代码执行等攻击。 为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】 经分析, 此次重要补丁更新披露了 Weblogic 组件存在的两个严重安全漏洞(CVE-2020-2551、CVE-2020-2546),CVSS评分高达 9.8 分,攻击者可利用该漏洞进行远程代码执行攻击。 详情描述如下:
CVE编号 | 影响产品 | 组件名 | 影响协议 | 是否无需认证远程可直接利用? | CVSS评分 | 受影响版本 |
CVE-2020-2551 | WebLogic Server | WLS Core Components | IIOP | 是 | 9.8 | 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 |
CVE-2020-2546 | WebLogic Server | Application Container - JavaEE | T3 | 是 | 9.8 | 10.3.6.0.0, 12.1.3.0.0 |
【风险等级】 高风险 【漏洞风险】 远程代码执行等影响 【影响版本】 此次影响较大的组件为: Oracle WebLogic Server 10.3.6.0.0 Oracle WebLogic Server 12.1.3.0.0 Oracle WebLogic Server 12.2.1.3.0 Oracle WebLogic Server 12.2.1.4.0
【修复建议】 目前 Oracle官方已经发布补丁更新,建议您及时应用相关补丁更新。 由于Oracle产品更新策略,Oracle官方补丁需要用户持有正版软件的许可账号进行下载安装,建议您持账号登陆 https://support.oracle.com 下载最新补丁。
临时缓解方案: CVE-2020-2546: 如果不依赖T3协议进行JVM通信,禁用T3协议。操作如下: 1. 进入WebLogic控制台,在 base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器; 2. 在连接筛选器中输入: weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入: 127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(T3 和 T3S 协议的所有端口只允许本地访问); 3. 保存生效(需重启) CVE-2020-2551: 可通过关闭IIOP协议对此漏洞进行缓解。操作如下: 1. 在 WebLogic 控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用 IIOP”的勾选。 2. 重启 WebLogic 项目,使配置生效。
【漏洞参考】 1)官方更新通告:https://www.oracle.com/security-alerts/cpujan2020.html